Process Hollowing: Process Injection – Process Hollowing (T1055.012)

Il process hollowing è un fondamentale del red teaming. Replicarlo in laboratorio richiede familiarità con le Windows API e con i framework di post-exploitation che lo implementano nativamente.

Il punto di partenza più immediato è Cobalt Strike (a pagamento). Il suo modulo spawnto permette di definire quale eseguibile verrà utilizzato come contenitore hollowed. Dal Beacon, la configurazione del Malleable C2 profile permette di personalizzare il binario target:

set spawnto_x64 "%windir%\sysnative\dllhost.exe"; set spawnto_x86 "%windir%\syswow64\dllhost.exe";

L'operatore può poi lanciare un payload con spawn o execute-assembly, e il framework si occupa internamente della sequenza CreateProcess → NtUnmapViewOfSection → WriteProcessMemory → ResumeThread.

Per chi preferisce un approccio open source, Metasploit Framework (open source) offre il modulo post/windows/manage/migrate, che supporta la migrazione in un processo sospeso. Il comando dalla sessione Meterpreter è diretto:

meterpreter > run post/windows/manage/migrate SPAWN=true NAME=svchost.exe

Un'alternativa didattica e granulare è scrivere il proprio loader in C/C++ utilizzando le API native. La sequenza operativa è:

1. Chiamare CreateProcessW sull'eseguibile target (es. svchost.exe) con il flag CREATE_SUSPENDED (valore 0x4)
2. Ottenere il PEB del processo sospeso tramite NtQueryInformationProcess per leggere l'image base
3. Svuotare l'immagine originale con NtUnmapViewOfSection
4. Allocare nuova memoria con VirtualAllocEx e scrivervi il payload con WriteProcessMemory
5. Aggiornare l'entry point nel thread context con SetThreadContext
6. Richiamare ResumeThread per avviare l'esecuzione

Per il testing, Process Hacker (open source) è indispensabile per verificare visivamente che il processo hollowed presenti discrepanze tra l'immagine su disco e quella in memoria. Una volta eseguito il hollowing, aprendo le proprietà del processo in Process Hacker noterete che il campo Image file name punta all'eseguibile legittimo, ma la memoria non corrisponde.

Anche pe-sieve (open source), tool di hasherezade, è fondamentale in fase di validazione: esegue uno scan in-memory dei processi e rileva le discrepanze tra il PE caricato e l'immagine originale su disco. Il comando di base:

pe-sieve.exe /pid <PID_TARGET>

Questo restituisce un report con le pagine di memoria modificate, ideale per confermare che il hollowing è andato a buon fine e per capire cosa vedrebbe un analista.

La detection del process hollowing si gioca su un principio cardine: individuare la discrepanza tra il processo dichiarato e il codice effettivamente in esecuzione. La strategia di rilevamento documentata (DET0382) fornisce una base solida, che va tradotta in regole operative calibrate sul proprio ambiente.

La log source primaria è Sysmon (gratuito). Gli eventi chiave da correlare sono tre. L'EventCode 1 (Process Create) cattura la creazione del processo sospeso: cercate processi figli legittimi (svchost.exe, notepad.exe, explorer.exe, iexplore.exe) generati da parent inattesi. Un svchost.exe il cui padre non è services.exe è già un'anomalia significativa. L'EventCode 10 (Process Access) registra gli handle aperti con diritti di scrittura sulla memoria di un altro processo — i flag PROCESS_VM_WRITE e PROCESS_VM_OPERATION sono indicativi. Infine, l'EventCode 25 (Process Tampering) segnala direttamente le immagini di processo che risultano modificate in memoria rispetto al file su disco.

La telemetria ETW dal provider Microsoft-Windows-Kernel-Process fornisce il secondo livello di visibilità. Qui il segnale da cercare è la sequenza temporale: creazione del processo con flag sospeso, seguita da operazioni di unmap e write sulla memoria, il tutto in una finestra di 5-10 secondi come suggerito dai parametri di tuning.

Per la correlazione comportamentale, una regola efficace in ambiente Elastic Security (freemium) o Splunk (freemium) dovrebbe unire tre condizioni:

• Processo figlio creato in stato sospeso (flag 0x4 nel campo command-line o nei metadati ETW)
• Accesso alla memoria del processo figlio con permessi di scrittura da parte del processo padre
• Resume del thread entro la finestra temporale definita

Il tuning è critico per contenere i falsi positivi. I processi target più abusati — secondo i dati disponibili — sono svchost.exe, explorer.exe, cmd.exe, notepad.exe, iexplore.exe, RegASM.exe, MSBuild.exe, InstallUtil.exe e vbc.exe. La vostra regex per il parametro HollowedImageNamePattern dovrebbe coprire almeno questi. Tuttavia, attenzione: alcuni software di virtualizzazione e framework .NET creano legittimamente processi sospesi. Escludete i parent noti e validate ogni eccezione.

Un controllo hardening complementare consiste nell'abilitare Windows Defender Exploit Guard (gratuito, integrato in Windows 10/11) con la regola ASR per il blocco dell'injection nei processi figli. La policy si configura via GPO o Intune e riduce drasticamente la superficie d'attacco senza richiedere strumenti aggiuntivi.

L'analisi forense di un process hollowing lascia tracce sia in memoria che su disco, ma la memoria volatile è la fonte primaria: una volta spento il sistema, gran parte delle evidenze dirette svanisce.

Il primo passo è l'acquisizione di un memory dump completo. Con WinPmem (open source) o Magnet RAM Capture (gratuito) si ottiene un'immagine della RAM su cui lavorare offline. L'analisi si concentra poi su Volatility 3 (open source), il framework di riferimento per la memory forensics.

La sequenza investigativa con Volatility 3 parte dall'identificazione dei processi sospetti. Il plugin windows.pslist mostra tutti i processi attivi, ma il vero valore emerge dal confronto con windows.pstree per ricostruire le relazioni padre-figlio. Un processo svchost.exe orfano o figlio di un binario non standard è il primo segnale. Proseguite con:

python3 vol.py -f <memory_dump> windows.malfind

Il plugin malfind è progettato esattamente per questo scenario: identifica le regioni di memoria con permessi PAGE_EXECUTE_READWRITE che contengono codice eseguibile non mappato a un file su disco. Nel caso del process hollowing, troverete l'intero payload iniettato all'interno dello spazio di indirizzamento del processo legittimo.

Per confermare la discrepanza tra immagine su disco e immagine in memoria, il plugin windows.vadinfo permette di analizzare i Virtual Address Descriptors del processo sospetto. Cercate VAD con protezione eseguibile che non corrispondono a nessun file mappato, oppure che puntano a un file diverso da quello dichiarato nel PEB.

Sul fronte degli artefatti disco, concentratevi su:

• Prefetch (C:\Windows\Prefetch): le entry per il processo hollowed mostreranno i file effettivamente acceduti durante l'esecuzione, che non corrisponderanno al comportamento atteso del binario legittimo. Un SVCHOST.EXE-*.pf che referenzia DLL anomale o path sospetti è un indicatore forte.
• Sysmon Event Logs: se Sysmon era attivo durante l'incidente, gli EventCode 1, 10 e 25 già descritti nella sezione SOC costituiscono artefatti persistenti nel log Microsoft-Windows-Sysmon/Operational.
• Shimcache / AmCache: registrano l'esecuzione dei binari, utili per stabilire la prima apparizione del processo sospetto e per correlare l'orario con altri eventi nella timeline.

Lo strumento pe-sieve (open source), già citato, è prezioso anche in fase forense su sistemi live: può eseguire una scansione di tutti i processi attivi e produrre un report automatico delle discrepanze PE, accelerando il triage quando il tempo è critico.

La ricostruzione della timeline dovrebbe integrare gli artefatti di memoria con i log di sistema per stabilire: quando il processo legittimo è stato creato, quando il payload è stato scritto in memoria e quando l'esecuzione malevola è effettivamente iniziata. Questa triangolazione è ciò che trasforma indizi isolati in una narrativa forense coerente.

Il process hollowing è una tecnica trasversale: la troviamo sia negli arsenali di gruppi APT nation-state sia nei toolkit del cybercrime commodity. Questa dualità rende il profiling particolarmente interessante, perché il come viene usata la tecnica rivela molto più del semplice se.

Kimsuky (G0094) rappresenta il modello più sofisticato nell'impiego della tecnica. Il gruppo nordcoreano utilizza una DLL injector dedicata che genera un processo benigno sulla macchina vittima e vi inietta il payload tramite hollowing. L'uso di un componente separato per l'injection — anziché integrarlo direttamente nel malware — indica un'architettura modulare che facilita l'aggiornamento dei payload senza modificare il vettore di consegna. Questo pattern è coerente con operazioni di spionaggio a lungo termine.

menuPass (G0045) mostra un approccio mirato nella scelta del processo target: utilizza iexplore.exe come contenitore per l'implant RedLeaves. La scelta di Internet Explorer è strategica in ambienti enterprise dove il browser è ancora presente come componente legacy, rendendo la sua esecuzione meno sospetta. Anche Bandook sfrutta iexplore.exe come host, suggerendo che questo pattern sia stato condiviso o replicato indipendentemente tra operatori diversi.

Threat Group-3390 (G0027) e Patchwork (G0040) convergono entrambi su svchost.exe come processo target. Per TG-3390, lo spawning di svchost è funzionale all'injection del payload principale. Patchwork lo utilizza specificamente per nascondere l'exploitation di una vulnerabilità UAC bypass. Questa convergenza su svchost non è casuale: è il processo con il maggior numero di istanze legittime su un sistema Windows, offrendo il massimo mimetismo.

Gorgon Group (G0078) impiega il hollowing come meccanismo di delivery per i propri trojan, in un pattern tipico del cybercrime pakistano. TA2541 (G1018) lo utilizza per eseguire CyberGate, un RAT commerciale, confermando il profilo di un threat actor che predilige tool off-the-shelf. BlackByte (G1043), gruppo ransomware, lo sfrutta esplicitamente per evasion difensiva.

Il panorama dei 32 software che implementano questa tecnica rivela un trend chiaro: il process hollowing è diventato una funzionalità standard nei malware-as-a-service. Da QakBot a Emotet, da TrickBot a IcedID, i loader più diffusi lo implementano nativamente. Emotet è particolarmente creativo nell'usare una copia di certutil.exe spostata in una directory temporanea come contenitore. Raspberry Robin ne fa un uso specializzato per eseguire un client Tor all'interno di un processo legittimo.

I processi target più frequenti — svchost.exe, explorer.exe, cmd.exe, iexplore.exe, notepad.exe, RegASM.exe, MSBuild.exe, InstallUtil.exe, vbc.exe, BitLockerToGo.exe — costituiscono una watchlist operativa che ogni analista TI dovrebbe monitorare nelle proprie regole di detection. Il trend emergente è l'abuso di tool Microsoft legittimi come MSBuild e InstallUtil (tecnica nota come LOLBins), che combina il hollowing con il living-off-the-land per una doppia evasione.

Framework MITRE ATT&CK v16 — Tecnica T1055.012 (Process Injection: Process Hollowing), tattiche TA0005 e TA0004, mitigazione M1040, detection DET0382 / AN1076. Tool di detection e analisi: Sysmon, Volatility 3, pe-sieve, Process Hacker, WinPmem. Integrato con conoscenza professionale per tool e procedure operative.