Process Hollowing: Sostituire l'Anima di un Processo Legittimo (T1055.012)

Per replicare il process hollowing in ambiente controllato, iniziamo creando un processo sospeso. Su Windows, il comando PowerShell seguente dimostra i primi passi:

$StartInfo = New-Object System.Diagnostics.ProcessStartInfo
$StartInfo.FileName = "C:\Windows\System32\svchost.exe"
$StartInfo.CreateNoWindow = $true
$Process = [System.Diagnostics.Process]::Start($StartInfo)

La vera magia avviene però tramite codice nativo. Un esempio in C mostra la sequenza completa:

STARTUPINFO si = {0};
PROCESS_INFORMATION pi = {0};
CreateProcess("C:\\Windows\\System32\\notepad.exe", NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi);

Dopo la creazione sospesa, procediamo con lo svuotamento attraverso NtUnmapViewOfSection. Tool come Cobalt Strike automatizzano questo processo con il comando:

beacon> inject [pid] x64 [listener]

Per test più controllati, strumenti come Donut permettono di convertire assembly .NET in shellcode iniettabile. La sequenza diventa:

donut.exe payload.exe -o payload.bin

Seguito dall'iniezione manuale utilizzando tool come ProcessHacker o script custom. Agent Tesla e TrickBot utilizzano frequentemente svchost.exe come target, mentre Emotet preferisce certutil.exe copiato in directory temporanee.

Il framework Metasploit offre moduli pronti per testing:

use post/windows/manage/reflective_dll_inject set PROCESS notepad.exe set DLL /path/to/payload.dll

Per simulazioni più realistiche, IcedID dimostra come iniettare beacon Cobalt Strike in cmd.exe, mentre QakBot esegue il suo payload principale attraverso questa tecnica. La chiave sta nel timing: tutto deve avvenire rapidamente tra creazione e resume del processo.

La detection del process hollowing richiede visibilità su chiamate API specifiche in sequenza temporale ristretta. Sysmon EventID 1 (Process Creation) deve essere correlato con eventi di manipolazione memoria entro 5-10 secondi.

Configurate il vostro SIEM per cercare questa sequenza:

1. Processo creato con flag CREATE_SUSPENDED
2. Chiamata a NtUnmapViewOfSection sullo stesso PID
3. VirtualAllocEx e WriteProcessMemory in rapida successione
4. ResumeThread finale

I log ETW Microsoft-Windows-Kernel-Process forniscono visibilità granulare sulle operazioni di memoria. Un esempio di query Splunk:

index=windows EventCode=1 Image="\svchost.exe" | join ProcessId [search EventCode=10 TargetImage="\svchost.exe" CallTrace="NtUnmapViewOfSection"]

Attenzione ai pattern comuni: menuPass utilizza iexplore.exe, mentre Gorgon Group varia i processi target. Impostate soglie di memoria scritte superiori a 4KB per ridurre falsi positivi da operazioni legittime.

EDR moderni come CrowdStrike e SentinelOne offrono detection comportamentale nativa. Configurate alert personalizzati per:

• Processi comuni hollowati: svchost.exe, explorer.exe, notepad.exe
• Parent-child relationship anomale
• Scritture di memoria cross-process seguite da thread resume

Il tuning richiede attenzione al contesto aziendale. Alcune applicazioni legittime utilizzano tecniche simili per protezione software o virtualizzazione.

Durante l'analisi post-compromissione, cercate tracce di process hollowing esaminando i memory dump dei processi sospetti. Il VAD (Virtual Address Descriptor) tree mostrerà incongruenze tra l'immagine su disco e quella in memoria.

Volatility è lo strumento principe per questa analisi:

vol.py -f memory.dmp --profile=Win10x64 malfind

Questo comando evidenzia sezioni di memoria con caratteristiche anomale tipiche del hollowing. WhisperGate lascia tracce caratteristiche quando inietta il quarto stadio in InstallUtil.exe sospeso.

Gli artefatti chiave includono:

• Prefetch files che mostrano esecuzioni anomale di processi di sistema
• Event log con sequenze CREATE_SUSPENDED vicine temporalmente
• Memory sections con permessi RWX (Read-Write-Execute)

Lumma Stealer utilizza BitLockerToGo.exe lasciando tracce nel registro sotto HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Cercate incongruenze tra il path del processo e il contenuto effettivo in memoria.

L'analisi del timeline deve correlare:

1. Tempo di creazione del processo (Event ID 4688)
2. Modifiche alla memoria del processo (ETW traces)
3. Network connections anomale dal processo hollowato
4. File system activity post-hollowing

DarkGate decripta il contenuto PE prima dell'iniezione in vbc.exe, lasciando tracce di decrittazione in memoria. Strumenti come WinDbg permettono di ricostruire la sequenza esatta di API calls attraverso l'analisi dei breakpoint retroattivi.

Threat Group-3390 rappresenta il profilo classico di utilizzo del process hollowing con focus su svchost.exe. Questo gruppo cinese mantiene persistenza attraverso servizi Windows hollowati, indicando operazioni di lungo termine.

Patchwork, gruppo sud-asiatico, combina la tecnica con bypass UAC nascondendo l'exploitation dentro svchost.exe. I loro target includono principalmente organizzazioni governative e diplomatiche, suggerendo motivazioni di spionaggio.

Kimsuky (Corea del Nord) utilizza un injector DLL specializzato per il process hollowing, indicando sviluppo custom di tooling. La loro preferenza per processi benign suggerisce focus sull'evasione piuttosto che privilege escalation.

TA2541 distribuisce CyberGate attraverso campagne email massive, utilizzando il process hollowing come tecnica di evasione post-delivery. Il loro modello operativo suggerisce motivazioni criminali piuttosto che APT sponsorizzate.

BlackByte ransomware gang implementa la tecnica per defense evasion, indicando l'adozione anche da parte di gruppi criminali non-APT. L'overlap di tool tra gruppi mostra condivisione di codice: Cobalt Strike appare trasversalmente, mentre Duqu mantiene capacità custom di hollowing che lo distinguono.

Pattern geografici emergono chiaramente: gruppi asiatici preferiscono browser come target (iexplore.exe), mentre attori russi/est-europei prediligono processi di sistema (svchost.exe, explorer.exe). Questa differenza riflette diversi modelli operativi e obiettivi finali.

Tecnica T1055.012 documentata nel framework MITRE ATT&CK con evidenze da campagne reali di Threat Group-3390, Patchwork, menuPass, Gorgon Group, Kimsuky, TA2541 e BlackByte. Detection strategy DET0382 basata su analisi comportamentale di Windows API calls. Riferimenti a 32 malware families con implementazioni verificate di process hollowing.