Process Doppelgänging: Manipolazione delle Transazioni NTFS per Evasione (T1055.013)

Il processo di implementazione richiede quattro fasi distinte che manipolano le API transazionali di Windows. Prima di tutto, è necessario creare una transazione TxF utilizzando CreateTransaction e aprire un file legittimo in modalità transazionale.

hTransaction = CreateTransaction(NULL, 0, 0, 0, 0, 0, NULL)
hTransactedFile = CreateFileTransacted("C:\Windows\System32\svchost.exe", ...)

La fase di caricamento prevede la sovrascrittura del file all'interno della transazione con il payload malevolo. Questa modifica rimane isolata nel contesto transazionale:

WriteFile(hTransactedFile, malicious_payload, payload_size, ...)
NtCreateSection(&hSection, SECTION_ALL_ACCESS, NULL, 0, PAGE_READONLY, SEC_IMAGE, hTransactedFile)

Il rollback della transazione elimina le tracce dal filesystem mentre mantiene la sezione di memoria già mappata. RollbackTransaction(hTransaction) rimuove completamente le modifiche al file originale.

L'animazione del processo avviene tramite NtCreateProcessEx passando la sezione di memoria contenente il payload. Successivamente si crea il thread principale con NtCreateThreadEx per avviare l'esecuzione.

Tool come DoublePulsar framework includono implementazioni proof-of-concept. Per testing in laboratorio, progetti GitHub come "processrefund" forniscono codice funzionante che dimostra la tecnica completa.

La chiave del successo risiede nel timing preciso tra rollback e creazione del processo. Un delay eccessivo può causare il fallimento dell'operazione poiché Windows invalida le sezioni di memoria non committate.

La detection richiede correlazione tra eventi TxF e creazione processi. Sysmon con configurazione estesa può catturare EventCode 1 (Process Creation) e correlare con chiamate alle API transazionali tramite ETW provider Microsoft-Windows-Kernel-Process.

Pattern comportamentali chiave includono sequenze ravvicinate di CreateTransaction seguite da RollbackTransaction entro 5 secondi. Questo timeframe rappresenta il window tipico per l'esecuzione della tecnica.

event_id=1 AND parent_process IN ('cmd.exe', 'powershell.exe')
| join type=inner 
  [search source="ETW:Microsoft-Windows-Kernel-Transaction" 
   action IN ("CreateTransaction", "RollbackTransaction")]
| where time_diff < 5

L'entropia del thread start address superiore a 6.5 indica possibile shellcode offuscato. Monitora processi che creano thread con indirizzi di partenza in regioni di memoria non associate a moduli legittimi.

False positive comuni derivano da software di backup che utilizzano TxF per operazioni atomiche. Whitelisting basato su certificati digitali riduce il rumore mantenendo efficacia detection.

Implementa threshold su API call frequency: più di 3 sequenze CreateTransaction/Rollback per processo in 60 secondi merita investigazione immediata. Pattern legittimi raramente superano questa soglia.

La correlazione con process hollowing indicators aumenta la confidence: processi con stesso nome del parent ma PID diverso creati dopo transazioni TxF sono altamente sospetti.

Gli artefatti principali risiedono nel Transaction Log di NTFS ($TxfLog) che mantiene traccia delle operazioni transazionali anche dopo rollback. L'analisi richiede parsing del $LogFile NTFS per identificare transazioni non committate.

Timeline reconstruction inizia identificando nel Prefetch quando l'eseguibile target è stato accesso in modalità transazionale. I file .pf mostrano timestamp anomali per eseguibili comuni come svchost.exe o calc.exe.

volatility -f memory.dmp windows.pslist rivela processi con VAD (Virtual Address Descriptor) anomali dove le sezioni IMAGE non corrispondono al path su disco. Questa discrepanza indica potenziale doppelgänging.

Il gruppo Leafminer ha implementato questa tecnica lasciando tracce specifiche: transazioni TxF su file di sistema seguiti da processi con security context ereditato dal processo injector. La correlazione temporale mostra pattern di 10-15 secondi tra transazione e esecuzione.

Event Log di Windows mantiene traccia limitata ma EventID 4985 (transazione file modificata) correlato con EventID 4688 (nuovo processo) entro finestra temporale stretta suggerisce l'attacco.

Memory forensics tramite vadinfo plugin mostra sezioni di memoria marcate come PAGE_EXECUTE_READWRITE senza backing file corrispondente. Questi "fantasmi" in memoria sono indicatori chiave post-exploitation.

L'assenza di modifiche al file originale su disco complica l'analisi tradizionale. Focus su memory artifacts e correlation temporale diventa critico per ricostruire l'attacco completo.

Leafminer (G0077) rimane l'unico gruppo APT con uso documentato di Process Doppelgänging. Il gruppo, attivo dal 2017, target principalmente organizzazioni in Medio Oriente con focus su settori government e telecomunicazioni.

L'adozione limitata suggerisce barriere tecniche significative. La complessità implementativa e la dipendenza da API Windows specifiche limitano l'appeal per gruppi con risorse limitate o focus multi-piattaforma.

SynAck ransomware dimostra l'evoluzione verso crime-as-a-service. L'integrazione di doppelgänging nel malware indica maturità tecnica crescente nel panorama ransomware.

Bazar backdoor, associato al gruppo TrickBot, implementa varianti della tecnica per mantenere persistenza. La convergence tra gruppi APT tradizionali e cybercrime operators su tecniche avanzate rappresenta trend preoccupante.

Pattern geografici mostrano adozione principalmente in campagne contro target Windows-centric. L'assenza in campagne Linux/macOS conferma la natura platform-specific della tecnica.

Overlap tooling limitato suggerisce che gruppi con capacità di implementare doppelgänging possiedono team di sviluppo dedicati. Non è tecnica "commodity" facilmente integrabile in toolkit esistenti.

Previsioni indicano possibile evoluzione verso abuse di altri meccanismi transazionali Windows come Kernel Transaction Manager (KTM) per tecniche simili ma con footprint ancora minore.

Framework MITRE ATT&CK documenta Process Doppelgänging come T1055.013. Ricerche su Leafminer operations e analisi malware di SynAck/Bazar forniscono IoC specifici. Windows Internals documentation su TxF API essenziale per comprensione tecnica approfondita.