Utility Rinominate per Evasione: Rename Legitimate Utilities (T1036.003)

La bellezza operativa di questa tecnica risiede nella sua semplicità: non servono exploit o privilege escalation, basta un comando di copia e rinomina. In un esercizio red team, replicarla è essenziale per validare la capacità del blue team di correlare metadati PE con il nome su disco.

Scenario Windows — Rinomina di rundll32.exe

Partiamo dal caso più documentato. Daggerfly ha utilizzato una copia di rundll32.exe rinominata come dbengin.exe, posizionata in ProgramData\Microsoft\PlayReady, per eseguire DLL malevole tramite proxy. Per replicare:

copy C:\Windows\System32\rundll32.exe C:\ProgramData\Microsoft\PlayReady\dbengin.exe

Poi esegui una DLL di test (in laboratorio, ovviamente una payload benigna):

C:\ProgramData\Microsoft\PlayReady\dbengin.exe C:\temp\test.dll,EntryPoint

Se l'EDR non correla l'OriginalFileName nel PE header con il nome su disco, l'esecuzione passa inosservata. Sysmon (open source, Microsoft Sysinternals) con EventCode 1 cattura sia Image che OriginalFileName: è il primo controllo che il blue team dovrebbe superare.

Scenario Windows — certutil e cmd.exe

menuPass ha rinominato e spostato certutil.exe; GALLIUM ha fatto lo stesso con cmd.exe. Per simularli:

copy C:\Windows\System32\certutil.exe C:\Users\Public\mshelper.exe copy C:\Windows\System32\cmd.exe C:\Temp\svchost.exe

Il secondo caso è particolarmente insidioso: un cmd.exe rinominato svchost.exe confonde anche un analista durante il triage, perché svchost è un processo atteso.

Scenario macOS e Linux

Su macOS la detection (AN0013) si aspetta deviazioni dal path standard /usr/bin/. Per testare:

cp /usr/bin/curl /tmp/.update_helper && /tmp/.update_helper -s

Su Linux, per verificare la copertura auditd:

cp /usr/bin/python3 /dev/shm/.cache && /dev/shm/.cache -c "print('test')"

L'esecuzione da /dev/shm o /tmp di binari rinominati è un indicatore ad alta fedeltà. Il tool Atomic Red Team (open source) contiene test atomici per T1036.003 già pronti all'uso, ideali per automatizzare la validazione.

Verifica con PE metadata

Dopo ogni test, verifica se il blue team rileva il mismatch. Su PowerShell:

Get-ItemProperty "C:\ProgramData\Microsoft\PlayReady\dbengin.exe" | Select-Object VersionInfo

Il campo OriginalFilename rivelerà sempre "rundll32.exe", indipendentemente dalla rinomina. Questo è l'artefatto chiave.

La detection di questa tecnica poggia su un principio semplice ma potente: il mismatch tra il nome del file su disco e i metadati PE embedded nel binario. Un rundll32.exe rinominato dbengin.exe mantiene nel PE header il campo OriginalFileName valorizzato a "RUNDLL32.EXE". Ogni regola di detection che confronta questi due valori intercetta la tecnica con altissima fedeltà.

Log sources e configurazione

Su Windows, la fonte primaria è Sysmon (open source) con EventCode 1 (Process Creation), che espone i campi Image, OriginalFileName, Hashes e ParentImage. Senza Sysmon, gli eventi nativi EventCode 4688 del Security log offrono il campo NewProcessName ma non i metadati PE — insufficiente per questa detection. L'AMSI logging aggiunge visibilità su script engine utilizzati dopo la rinomina.

Su macOS, i log Unified Log e Endpoint Security Framework catturano esecuzioni con path devianti. Su Linux, auditd con regole SYSCALL su execve è la base; osquery (open source) permette query periodiche per binari in path anomali.

Regola di detection principale

La logica core per il SIEM è:

• OriginalFileName corrisponde a un binario noto (rundll32, cmd, mshta, certutil, wscript, powershell, curl, psexec)
• Image (nome su disco) NON corrisponde al valore atteso
• Bonus: il path di esecuzione è fuori dalla directory di sistema standard

Questa regola triangola tre indicatori. Il progetto Sigma (open source) fornisce regole pronte per renamed binary detection, direttamente convertibili nei formati Splunk, Elastic e Microsoft Sentinel tramite il tool sigma-cli (open source).

Tuning dei falsi positivi

I falsi positivi più comuni provengono da software legittimi che incorporano copie rinominate di utility Microsoft — alcuni installer e tool di provisioning IT lo fanno. Le leve di tuning dai dati di detection sono tre:

1. ImagePath — filtra per directory note e approvate (es. cartelle di deployment gestite da SCCM)
2. PEInternalNameMismatch — affina la regola accettando mismatch noti e documentati in una whitelist
3. CommandLinePattern — combina il mismatch con argomenti insoliti per alzare la confidence

Per macOS, il tuning su BinaryHashReputation è efficace: confronta l'hash del binario con le versioni firmate note di Apple, e segnala solo se il match è positivo ma il path o il nome divergono. Su Linux, correlate temporalmente la rinomina del file con la sua esecuzione immediata (TimeWindow): un cp seguito da un execve entro pochi secondi dalla stessa directory temporanea è quasi sempre malevolo.

L'analisi forense di una rinomina di utility di sistema lascia tracce su più livelli del filesystem e dei log, a patto di sapere dove cercare. L'elemento cardine è la dissociazione tra identità reale del binario e nome apparente: un artefatto che sopravvive in modo persistente e ricostruibile.

Artefatti filesystem Windows

Il primo punto di analisi è la $MFT (Master File Table) del volume NTFS. Ogni operazione di copia genera un nuovo record MFT con timestamp $STANDARD_INFORMATION e $FILE_NAME distinti. Strumenti come MFTECmd di Eric Zimmerman (open source) permettono di estrarre tutti i record e filtrare per path sospetti. Cercate file con estensione .exe in directory come ProgramData, Users\Public, o Temp che non corrispondono a installazioni note.

Il caso Daggerfly è esemplare: il file dbengin.exe nella directory ProgramData\Microsoft\PlayReady appare nella MFT con un hash identico a rundll32.exe di System32. Lo strumento PECmd (open source, Zimmerman Tools) analizza il PE header e conferma l'OriginalFileName: questo confronto è la prova forense primaria.

Prefetch e Amcache

I file Prefetch (.pf) nella cartella C:\Windows\Prefetch registrano il nome con cui il binario è stato eseguito e i file referenziati durante l'avvio. Un file DBENGIN.EXE-{hash}.pf che referenzia DLL malevole ricostruisce la catena di esecuzione. Lo strumento PECmd e WinPrefetchView (gratuito, NirSoft) estraggono queste informazioni.

L'Amcache (C:\Windows\appcompat\Programs\Amcache.hve) conserva sia il path originale sia l'hash SHA1 del binario. Tramite AmcacheParser (open source, Zimmerman Tools), potete correlare l'hash del file rinominato con il binario di sistema originale, confermando la rinomina senza ambiguità.

Timeline e correlazione

La ricostruzione della timeline segue una sequenza precisa:

1. Copia del binario — evento nel journal NTFS ($UsnJrnl), timestamp di creazione nella MFT
2. Rinomina (se non copiato direttamente con nome diverso) — secondo evento USN Journal con reason code RenameNewName
3. Esecuzione — Prefetch, Amcache, e Sysmon EventCode 1 se presente
4. Attività post-esecuzione — connessioni di rete, caricamento DLL (EventCode 7 Sysmon), accesso a file

Su Linux, gli artefatti principali sono i log auditd con syscall rename ed execve: correlate il timestamp della rinomina con l'esecuzione successiva. Il journal ext4 e i metadati inode (tramite stat) forniscono ulteriore contesto temporale, ma la granularità dipende dalla configurazione di auditing preesistente.

Per il caso CozyCar, il dropper copiava rundll32.exe nella directory di installazione del malware con un nome da file di configurazione: la prova forense chiave è il file nella directory del malware con hash identico a rundll32.exe ma timestamp di creazione posteriore.

La T1036.003 è adottata da gruppi APT con profili operativi molto diversi, ma accomunati dalla necessità di operare in ambienti dove i controlli sulle utility di sistema sono attivi. Analizzare le scelte specifiche di rinomina rivela pattern tattici utili per l'attribuzione e l'anticipazione.

menuPass (G0045) — Gruppo con obiettivi di spionaggio, ha rinominato e spostato certutil.exe in una posizione diversa sul filesystem. La scelta di certutil è significativa: questo binario è uno dei LOLBAS più monitorati per il suo uso nel download di file e nella decodifica Base64. La rinomina indica che menuPass opera in ambienti con application control attivo e adatta le proprie TTP di conseguenza.

Lazarus Group (G0032) — Ha rinominato sia wscript.exe sia mshta.exe, due interpreti di scripting Windows frequentemente bloccati dalle policy aziendali. La scelta di rinominare entrambi suggerisce un approccio sistematico alla Defense Evasion: il gruppo prepara varianti multiple per garantire la ridondanza operativa se un vettore viene bloccato.

Daggerfly (G1034) — L'uso di rundll32.exe rinominato come dbengin.exe in ProgramData\Microsoft\PlayReady rivela una sofisticazione aggiuntiva: il path scelto mimetizza il file all'interno di una struttura Microsoft legittima. La tecnica è funzionale al DLL side-loading, posizionando Daggerfly tra i gruppi che concatenano T1036.003 con T1574.002 (DLL Side-Loading) come chain operativa.

APT32 (G0050) — Ha rinominato pubprn.vbs con estensione .txt, un approccio diverso: qui l'obiettivo non è solo eludere il monitoraggio dell'esecuzione, ma anche evitare detection basate su estensioni file. pubprn.vbs è un altro LOLBAS noto, utilizzabile per esecuzione proxy di script remoti.

APT38 (G0082) — Condivide con Lazarus Group la rinomina di rundll32.exe e mshta.exe. Questa sovrapposizione di TTP tra due gruppi con presunta affiliazione nordcoreana è un datapoint rilevante per il clustering: il tool overlap nella scelta dei binari rinominati suggerisce condivisione di playbook operativi o infrastruttura tecnica comune.

GALLIUM (G0093) — Ha rinominato cmd.exe, il binario più basilare possibile. Questo indica un environment target con controlli molto stringenti dove persino l'interprete dei comandi nativo è monitorato — tipico di reti enterprise con application whitelisting maturo.

Il pattern complessivo mostra una concentrazione sui LOLBAS (Living Off the Land Binaries and Scripts): rundll32, cmd, certutil, mshta, wscript, pubprn. Sul fronte malware, StrelaStealer utilizza msinfo32.exe rinominato per side-loading, mentre DarkGate rinomina curl.exe — segno che anche il crimeware commodity adotta questa tecnica per eludere detection automatizzate. La previsione operativa è chiara: qualsiasi binario firmato Microsoft che offra capacità di proxy execution o download è candidato alla rinomina, e le regole di detection devono coprire l'intero catalogo LOLBAS, non solo i binari più noti.

Framework MITRE ATT&CK: tecnica T1036.003, sotto-tecnica di T1036 (Masquerading), tattica TA0005 (Defense Evasion). Gruppi: G0045, G0032, G1034, G0050, G0082, G0093. Software: S1183, S1111, S0046, S1020. Mitigazione: M1022. Tool di detection: Sysmon, Sigma, osquery, auditd. Tool forensi: MFTECmd, PECmd, AmcacheParser (Zimmerman Tools). Integrato con conoscenza professionale per tool e procedure operative.