Rinomina Utilità Legittime: Masquerading - Rename System Utilities (T1036.003)

Per testare efficacemente questa tecnica nel tuo lab, inizia con il caso classico di rundll32. Su Windows, copia l'eseguibile originale in una location non standard e rinominalo:

copy C:\Windows\System32\rundll32.exe C:\ProgramData\update.exe

Ora puoi eseguire DLL malevole mascherando l'origine: C:\ProgramData\update.exe shell32.dll,ShellExec_RunDLL calc.exe. Il processo apparirà come "update.exe" nei log superficiali, evadendo regole basilari.

APT32 ha dimostrato l'efficacia di questa tecnica rinominando pubprn.vbs in file .txt. Replica questo comportamento copiando script di sistema: copy C:\Windows\System32\Printing_Admin_Scripts\en-US\pubprn.vbs C:\Users\Public\readme.txt. Eseguilo con cscript C:\Users\Public\readme.txt. Lo script mantiene tutte le funzionalità originali nonostante l'estensione modificata.

Su Linux, la tecnica funziona altrettanto bene. GALLIUM ha utilizzato versioni rinominate di cmd.exe, ma su sistemi Unix puoi replicare con: cp /bin/bash /tmp/systemd-helper && /tmp/systemd-helper -c "whoami". Il comando viene eseguito normalmente ma appare come "systemd-helper" nei processi.

Per emulare Lazarus Group, che rinomina wscript.exe e mshta.exe, crea copie con nomi credibili. copy C:\Windows\System32\wscript.exe C:\ProgramData\WindowsUpdate.exe seguito da C:\ProgramData\WindowsUpdate.exe malicious.vbs dimostra quanto sia facile nascondere l'esecuzione di script.

Il malware DarkGate automatizza questa tecnica creando directory casuali e rinominando curl.exe. Simula questo comportamento con uno script PowerShell che genera nomi casuali e copia utility di sistema in percorsi non standard per test di detection più avanzati.

La detection efficace richiede correlazione tra metadati PE e nomi su disco. Configura Sysmon con EventID 1 per catturare tutti i processi, ma la vera intelligence sta nell'analizzare il campo OriginalFileName nei metadati PE.

Crea una regola che confronta ImagePath con OriginalFileName: quando rundll32.exe viene eseguito ma il nome del file è diverso, genera un alert ad alta priorità. In Splunk, la query diventa: index=sysmon EventCode=1 | where Image!=OriginalFileName | table ComputerName User Image OriginalFileName CommandLine.

Daggerfly usa versioni rinominate di rundll32.exe come "dbengin.exe" in directory specifiche. Monitora esecuzioni da percorsi non standard di binari Windows critici. Directory come *C:\ProgramData*, *C:\Users\Public* o %TEMP% che contengono copie di system32 utilities sono indicatori forti.

Per Linux, auditd cattura EXECVE syscalls. Configura regole per monitorare esecuzioni di binari con hash noti ma nomi diversi: -a always,exit -F arch=b64 -S execve -k renamed_binaries. Correla con osquery per identificare binari con hash di /bin/* ma eseguiti da /tmp o /dev/shm.

L'approccio behavior-based riduce falsi positivi. Non allertare su ogni mismatch, ma su pattern specifici: binari di sistema eseguiti da directory writable, processi con lineage anomala (script che lanciano exe rinominati), o esecuzioni correlate temporalmente con creazione file.

Su macOS, unified logs e Endpoint Security framework permettono detection granulare. Monitora esecuzioni di osascript, bash o curl da percorsi non standard o con nomi modificati. La chiave è correlare creazione file, rinomina e successiva esecuzione in finestre temporali ristrette.

Durante l'analisi post-incident, gli artefatti di file rinominati forniscono indicatori temporali preziosi. Il MFT di Windows registra ogni operazione di copia e rinomina con timestamp precisi in $STANDARD_INFORMATION e $FILE_NAME.

Analizza il journal USN per ricostruire la sequenza: cerca entry con reason codes 0x00000002 (RENAME) correlate a binari di sistema. Tool come MFTECmd permettono di identificare quando rundll32.exe è stato copiato in *C:\ProgramData* e rinominato. La timeline mostra chiaramente la preparazione dell'attacco.

StrelaStealer usa msinfo32.exe rinominato per sideloading. Nel registro, cerca chiavi di autostart che puntano a exe con nomi non standard ma hash di binari Microsoft. Le chiavi Run/RunOnce spesso contengono path completi ai binari rinominati, fornendo contesto temporale attraverso LastWriteTime.

Su Linux, il filesystem ext4 mantiene timestamp di cambio nome in inode metadata. Usa debugfs per esaminare journal entries e ricostruire operazioni di mv/cp su binari di sistema. I log di bash history, se non compromessi, mostrano comandi di copia e rinomina con timestamp di sessione.

Kevin malware rinomina cmd.exe con estensione .tmpl. Cerca pattern di estensioni inusuali per binari eseguibili nel Shadow Copy o in punti di ripristino. PowerShell transcript logs catturano spesso operazioni di copia pre-esecuzione, fornendo contesto completo dell'attacco.

La correlazione tra Prefetch, Shimcache e Amcache rivela execution patterns. Binari rinominati generano nuove entry Prefetch ma mantengono hash originali in Amcache, permettendo di mappare l'evoluzione temporale dell'intrusion.

Lazarus Group dimostra sofisticazione nell'uso di questa tecnica, rinominando specificamente wscript.exe e mshta.exe. Questo pattern indica focus su execution di payload scriptati, suggerendo che le prossime fasi includeranno likely dropper VBS o HTA. Il gruppo nordcoreano mantiene consistenza operativa attraverso campagne.

APT32 (Vietnam) mostra creatività rinominando pubprn.vbs in file .txt. Questa scelta specifica indica familiarità con l'ambiente Windows e tecniche di stampa remota. Il gruppo potrebbe evolvere verso abuse di altri script amministrativi raramente monitorati come slmgr.vbs o manage-bde.wsf.

APT38, collegato a Lazarus ma con focus finanziario, rinomina rundll32.exe e mshta.exe. La sovrapposizione di TTP con Lazarus suggerisce condivisione di playbook ma obiettivi divergenti. Monitora variazioni nella scelta dei binari rinominati come indicatore di specializzazione operativa.

menuPass (Cina) sposta certutil in location alternative. Questa utility permette download e encoding/decoding, suggerendo che il gruppo la userà per staging di payload aggiuntivi. La scelta di certutil indica anche familiarità con tecniche di bypasso proxy e download da infrastructure legittime.

GALLIUM (Cina) con cmd.exe rinominato suggerisce operazioni che richiedono shell interaction prolungata. Questo APT likely manterrà presenza attraverso scheduled tasks o servizi che invocano il cmd rinominato, evitando detection basate su process name monitoring.

Pattern geografici emergono: gruppi asiatici (menuPass, GALLIUM, APT32) mostrano preferenza per utility di sistema core, mentre Lazarus/APT38 favoriscono host per scripting. Daggerfly innova usando directory PlayReady, indicando research approfondita su percorsi Microsoft legittimi ma non monitorati.

MITRE ATT&CK Framework documenta questa tecnica con esempi dettagliati di implementazione da parte di threat actors. Le campagne osservate mostrano evoluzione continua nelle varianti utilizzate. Risorse di detection includono Sigma rules per Sysmon e osquery queries per identificazione cross-platform di binari rinominati.