Payload Nascosti: Obfuscated Files/Embedded Payloads (T1027.009)

La creazione di payload embedded richiede comprensione profonda dei formati file. Un PNG può nascondere eseguibili nei chunk ancillari senza corrompere l'immagine visibile. Su Windows, il comando certutil -decode payload.txt malware.exe decodifica contenuti base64 nascosti in file di testo apparentemente innocui.

Per incorporare DLL in PowerShell, la conversione in formato hex permette l'inclusione diretta nello script:

[System.IO.File]::ReadAllBytes("C:\payload.dll") | ForEach-Object {$_.ToString("X2")} | Out-File hex.txt

Il tool Invoke-PSImage automatizza l'embedding in immagini legittime. La sintassi base prevede Invoke-PSImage -Script C:\mal.ps1 -Out C:\cat.png -Web per generare un'immagine che scarica ed esegue payload remoti.

Su Linux, gli overlay ELF permettono l'aggiunta di sezioni extra ai binari. Il comando echo "PAYLOAD" >> /usr/bin/legitimate appende dati che possono essere estratti runtime tramite self-parsing del binario stesso.

Per macOS, i file Mach-O supportano sezioni custom tramite otool e lipo. La creazione di Universal Binaries con architetture fittizie nasconde payload: lipo -create -arch x86_64 legit -arch arm64 payload -output universal

L'automazione dell'estrazione richiede stub loader che identificano marcatori specifici. Pattern come "DEADBEEF" delimitano l'inizio del payload cifrato, mentre XOR o AES-CBC proteggono il contenuto durante il transito.

La detection efficace inizia dal monitoraggio di anomalie dimensionali. File PowerShell superiori a 100KB o PNG con rapporto dimensione/risoluzione anomalo meritano investigazione. Sysmon EventID 1 cattura processi che scrivono file temporanei seguiti da esecuzione immediata.

Il pattern chiave coinvolge la sequenza file write → process creation entro 5 secondi. Query KQL per Microsoft Sentinel:

DeviceFileEvents | where ActionType == "FileCreated" | join kind=inner (DeviceProcessEvents) on DeviceId | where ProcessCreationTime between (FileCreationTime .. FileCreationTime + 5s)

L'analisi della process tree rivela dropper che generano multipli child. DUSTTRAP mostra questo comportamento caricando DLL aggiuntive runtime. Il threshold di 3 child processes identifica comportamenti sospetti senza eccessive false positive.

Per Linux, auditd monitora syscall memfd_create e execve in sequenza ravvicinata. La regola -a always,exit -F arch=b64 -S memfd_create -k embedded_payload traccia creazione di file in memoria tipica di payload fileless.

Il parsing di sezioni PE anomale tramite YARA identifica overlay:

rule EmbeddedPayload {
    condition:
        uint32(uint32(0x3C)) == 0x4550 and
        filesize > (pe.sections[pe.number_of_sections-1].raw_data_offset + 
                     pe.sections[pe.number_of_sections-1].raw_data_size + 1024)
}

L'EDR deve correlare file temporanei in %Temp% con hash univoci eseguiti entro la stessa sessione utente. Emotet droppa setup.exe con naming predicibile, permettendo detection basata su pattern naming e location.

L'analisi forense di payload embedded inizia dall'identificazione di anomalie strutturali nei file sospetti. Tool come pestudio su Windows evidenziano sezioni extra o entropy elevata in zone normalmente vuote. La presenza di dati dopo l'EOF marker suggerisce overlay payload.

Il recupero di artefatti richiede carving mirato. DEADEYE.EMBED nasconde configurazioni AES-encrypted etichettate "METADATA". L'estrazione manuale tramite hex editor cerca pattern ricorrenti come magic bytes o delimitatori custom.

La timeline reconstruction parte dai filesystem metadata. NTFS $MFT mostra timestamp di creazione/modifica per correlare dropper originale e payload estratti. Su ext4, l'analisi degli inode tramite debugfs rivela sequenze temporali precise.

MultiLayer Wiper dimostra comportamento multi-stage con due binari (MultiList e MultiWip) nelle risorse. L'analisi della Resource Section con ResourceHacker estrae componenti per analisi separata. La deletion post-esecuzione richiede recovery tramite carving del freespace.

Per macOS, l'analisi di macOS.OSAMiner mostra payload AppleScript run-only nested. Il tool osadecompile fallisce su questi formati, richiedendo analisi dinamica o reverse engineering del bytecode tramite aevt/odoc event monitoring.

L'USN Journal su Windows traccia la sequenza create→execute→delete tipica dei dropper. Query PowerShell per ricostruire: fsutil usn readjournal C: | findstr /i "setup.exe"

Memory forensics con Volatility identifica injection post-estrazione. Il plugin malfind evidenzia regioni RWX contenenti payload precedentemente embedded, correlando con parent process del dropper originale.

Lazarus Group (G0032) rappresenta il pioniere nell'uso sofisticato di PNG weaponized. La distribuzione geografica si concentra su target finanziari in Asia-Pacifico, con particolare focus su exchange di criptovalute. L'evoluzione tecnica mostra progressione da semplici append a sofisticati chunk IDAT manipulation.

Moonstone Sleet (G1036) preferisce trojanizzare software legittimo, embedding payload in installer apparentemente validi. La supply chain targeting suggerisce capacità di compromissione upstream, richiedendo monitoring enhanced di software development kit popolari in Corea del Sud.

TA577 (G1037) specializza in LNK files contenenti DLL embedded. La distribuzione via email phishing targets settore finanziario europeo. Il pattern temporale mostra picchi di attività correlati con quarterly earnings releases, suggerendo intelligence-driven operations.

L'overlap tooling tra gruppi rivela IcedID (S0483) condiviso tra cybercrime ecosystem. La commoditization di embedding techniques tramite Malware-as-a-Service abbassa la barrier entry per threat actor emergenti.

Le campagne C0021 e C0057 dimostrano evoluzione verso supply chain compromise. 3CX Attack rappresenta il primo caso documentato di cascading supply chain, con AppleJeus che compromette Trading Technologies per raggiungere 3CX. Il targeting secondario su defense contractors e crypto firms indica priorità strategiche stabili.

Pattern predittivi suggeriscono movimento verso cloud-native formats. Container images e serverless function packages offrono nuove opportunità di embedding. Il monitoring di registry pubblici per anomalie dimensionali anticipa future campaign.

Framework MITRE ATT&CK T1027.009. Campagne documentate: C0021 (APT29 suspected), C0057 (3CX Supply Chain). Risorse detection: Sysmon Configuration v14, Sigma rules repository, YARA embedded payload signatures.