Steganografia nei Canali C2: Data Obfuscation – Steganography (T1001.002)

La simulazione della steganografia C2 in laboratorio richiede due fasi distinte: la preparazione del contenitore steganografico e l'implementazione di un canale di comunicazione che lo sfrutti. È fondamentale operare esclusivamente in ambienti autorizzati e isolati.

Preparazione del payload con Steghide — Steghide (open source) è il tool classico per embedding LSB in immagini JPEG e BMP. Su una macchina Kali Linux o qualsiasi distribuzione con il pacchetto installato:

steghide embed -cf cover.jpg -ef payload.txt -p password123

Questo comando incorpora il file payload.txt dentro cover.jpg utilizzando una passphrase. Per estrarre sul lato impianto:

steghide extract -sf cover.jpg -p password123

L'immagine risultante è visivamente identica all'originale, ma contiene dati arbitrari nei bit meno significativi. Per i formati PNG — utilizzati da malware come Zox, LunarMail e il framework Sliver — è preferibile usare zsteg (open source, Ruby gem) per l'analisi e OpenStego (open source) per l'embedding.

Simulazione con Sliver — Il framework Sliver (open source) di Bishop Fox supporta nativamente l'encoding di dati C2 in file PNG. Dopo aver generato un impianto e avviato il listener, il traffico C2 viene incapsulato in immagini. In un lab red team è sufficiente configurare un HTTPS listener e abilitare il profilo di encoding PNG nella configurazione del server.

Catena d'attacco manuale su Windows — Per replicare il comportamento di HAMMERTOSS o LunarWeb, che ricevono comandi appesi o nascosti in immagini JPG/GIF, si può simulare il flusso con PowerShell:

Invoke-WebRequest -Uri -OutFile temp.jpg $bytes = [System.IO.File]::ReadAllBytes("temp.jpg"); $cmd = [System.Text.Encoding]::UTF8.GetString($bytes[$bytes.Length-256..$bytes.Length-1])

Questa sequenza scarica un'immagine e legge gli ultimi 256 byte, dove un operatore red team può aver appeso comandi in chiaro o codificati in Base64. È una semplificazione, ma replica il pattern fondamentale di Duqu che appende dati a file JPG vuoti.

Su Linux, per simulare il comportamento di RDAT con immagini BMP via email, si può usare ImageMagick (open source) per creare immagini BMP con dati embedded nei metadati EXIF tramite ExifTool (open source):

exiftool -Comment="$(base64 commands.txt)" cover.bmp

Il risultato è un'immagine BMP con il payload nei metadati, ispezionabile dal lato ricevente con exiftool -Comment cover.bmp | base64 -d.

Il problema centrale della detection steganografica è che il file contenitore è tecnicamente valido. Un JPEG con comandi nascosti nei bit LSB supera ogni controllo basato su file type validation. La strategia vincente non cerca il payload nascosto, ma le anomalie comportamentali che circondano il suo utilizzo.

Correlazione creazione-file / connessione di rete — Su Windows, il log Sysmon è la fonte primaria. L'analytic AN0651 suggerisce di monitorare EventCode 11 (FileCreate) per file con estensioni .jpg, .png, .gif, .bmp, .pdf generati da processi inattesi — non da browser o editor grafici noti. Se entro una finestra temporale configurabile (parametro ExecutionToExfilTimeWindow) lo stesso endpoint genera traffico in uscita verso IP esterni (EventCode 3, NetworkConnect), l'alert si attiva. Il tuning critico è il parametro PayloadEntropyThreshold: immagini legittime hanno entropia elevata per natura, ma un'analisi sul rapporto tra dimensione del file e complessità visiva può rivelare anomalie.

Su Linux, la detection AN0652 si concentra su un indicatore più diretto: l'esecuzione di binari steganografici. Monitorare tramite auditd le syscall execve per processi come steghide, outguess, stegosuite, o l'uso anomalo di ffmpeg e convert (ImageMagick) in contesti non interattivi. Il parametro ToolNameMatch permette di personalizzare la lista. Quando l'esecuzione di questi binari è seguita da traffico in uscita con MIME type immagine, la probabilità di C2 steganografico aumenta significativamente.

Per macOS (AN0653), il Unified Log cattura l'attività di Preview e dei binary editor. La chiave è il TimeDelta tra manipolazione file e connessione outbound, combinato con il ParentProcessBaseline per escludere applicazioni di editing fotografico legittime.

Falsi positivi e tuning — I team grafici e marketing sono la fonte principale di falsi positivi: creano, modificano e caricano immagini continuamente. La whitelist dei processi parent (Photoshop, GIMP, Figma desktop) è essenziale. Per ambienti ESXi (AN0654), attenzione ai file ISO e alle immagini su datastore: operazioni POST verso IP esterni al subnet di gestione vCenter sono il segnale da intercettare, filtrando con UnusualDestinationIP.

La mitigazione M1031 (Network Intrusion Prevention) resta il primo livello: firme IDS/IPS per pattern noti di malware come SUNBURST — che mascherava i dati C2 come XML .NET o JSON fittizio — possono bloccare varianti conosciute anche quando il payload è offuscato.

L'analisi forense di un canale C2 steganografico si sviluppa su due assi: gli artefatti del file contenitore e le tracce di rete che ne documentano il transito.

Artefatti su disco Windows — La prima evidenza è spesso un accumulo anomalo di file immagine in directory temporanee. Cerca nelle cartelle %TEMP%, %APPDATA% e nelle cache dei browser file .jpg, .png, .bmp, .gif che non corrispondono a navigazione web legittima. La MFT ($MFT) del filesystem NTFS registra timestamp di creazione e accesso: un pattern di file immagine creati a intervalli regolari (beaconing) è altamente sospetto. Usa l'analisi della $MFT con tool come MFTECmd (open source, Eric Zimmerman) per estrarre la timeline:

MFTECmd.exe -f "C:$MFT" --csv output\ --csvf mft_timeline.csv

Filtra poi per estensioni immagine e ordina per timestamp di creazione. Un cluster di PNG creati ogni 30-60 minuti da un processo non-browser è un indicatore forte.

Analisi del contenuto steganografico — Una volta identificati i file sospetti, l'analisi dell'entropia è il primo passo. Binwalk (open source) rileva dati embedded e sezioni anomale all'interno di file immagine:

binwalk -E suspect.jpg

Un grafico di entropia che mostra picchi uniformemente alti lungo tutto il file — anziché il pattern tipico di un JPEG con header strutturato e dati compressi — suggerisce la presenza di payload nascosti. Per immagini PNG, come quelle usate da LunarMail che nasconde comandi nei chunk IDAT compressi con zlib e cifrati con AES, l'analisi richiede il parsing dei chunk PNG con tool come pngcheck (open source):

pngcheck -v suspect.png

Chunk IDAT di dimensioni anomale o la presenza di chunk ancillari non standard sono indicatori di manipolazione.

Artefatti di rete e correlazione — I log di flusso di rete (NetFlow, Zeek) sono fondamentali per ricostruire il pattern di comunicazione. ZeroT scaricava payload di secondo stadio come immagini Bitmap con steganografia LSB: nei log proxy compariranno richieste GET ripetute per file .bmp verso lo stesso host, con response size costante — un pattern innaturale per navigazione legittima.

Su Linux, auditd con regole sulla syscall connect correla il processo che ha aperto la connessione di rete con i file creati sul disco. La timeline Plaso (open source) può aggregare eventi di filesystem, log di rete e log applicativi in un'unica sequenza cronologica:

log2timeline.py timeline.plaso /path/to/disk/image psort.py -w timeline.csv timeline.plaso

Nella campagna Operation Ghost, APT29 ha usato steganografia combinata con infrastruttura C2 dedicata per ogni vittima: l'analista forense dovrà cercare correlazioni tra gli hash dei file immagine e i domini C2 unici per ciascun host compromesso, verificando i certificati TLS associati tramite i log CT (Certificate Transparency).

La steganografia C2 non è una tecnica di massa: richiede sviluppo custom e una catena di delivery più complessa rispetto a un semplice canale HTTPS cifrato. Per questo motivo, il suo utilizzo è un marcatore affidabile di threat actor con risorse significative e obiettivi di persistenza a lungo termine.

Axiom (G0001) è il gruppo APT documentato nell'uso diretto della steganografia per nascondere comunicazioni C2. L'attribuzione cinese e il focus su spionaggio strategico rendono la steganografia una scelta coerente: in ambienti ad alta sorveglianza (reti governative, diplomatiche), il traffico cifrato non standard viene bloccato o ispezionato, mentre immagini scaricate via HTTPS passano inosservate. L'analista TI che rileva steganografia C2 su reti diplomatiche o governative europee dovrebbe considerare Axiom nella matrice delle attribuzioni probabili.

La campagna Operation Ghost (C0023, attiva dal 2013 al 2019) dimostra l'adozione sistematica da parte di APT29, che ha combinato steganografia con web service e infrastruttura C2 unica per vittima contro ministeri degli esteri europei e ambasciate a Washington D.C. Il pattern operativo è chiaro: steganografia come layer di offuscamento sopra canali web legittimi (immagini su servizi cloud, allegati email), con segmentazione dell'infrastruttura per limitare l'impatto di un'eventuale compromissione.

Pattern nei malware e convergenze operative — L'ecosistema software rivela cluster significativi. LunarWeb e LunarMail condividono l'uso di immagini PNG con chunk IDAT manipolati, suggerendo un framework di sviluppo comune. HAMMERTOSS e Duqu adottano l'approccio più semplice — dati appesi a file JPG — che indica team di sviluppo diversi con requisiti di stealth inferiori. RDAT si distingue per l'uso dell'email come trasporto, con immagini BMP steganografiche come allegati: un pattern raro che suggerisce un operatore con accesso limitato a canali web diretti, coerente con ambienti ad alta restrizione di rete.

SUNBURST rappresenta un caso limite: il mascheramento dei dati C2 come XML .NET o JSON fittizio è steganografia nel senso lato (dati nascosti in strutture apparentemente benigne), ma non utilizza file multimediali. Questo allargamento del concetto indica un trend evolutivo verso la steganografia semantica, dove il payload si nasconde nella struttura logica del protocollo anziché nei bit di un'immagine.

L'analista di intelligence dovrebbe tracciare l'adozione di formati contenitore: il passaggio da BMP/JPEG (più semplici, meno compressi) a PNG con chunk custom e cifratura AES — come in LunarMail — segnala una maturazione della tecnica verso implementazioni sempre più resistenti all'analisi automatizzata.

Framework MITRE ATT&CK: T1001.002, TA0011, G0001 (Axiom), C0023 (Operation Ghost), M1031. Software: S1141, S0037, S0633, S0672, S0395, S0230, S0187, S0495, S1142, S0038, S0559. Detection: Sysmon, auditd, NetFlow/Zeek, Unified Log macOS. Tool forensi: MFTECmd, Binwalk, pngcheck, Plaso. Tool red team: Steghide, OpenStego, Sliver, ExifTool. Integrato con conoscenza professionale per tool e procedure operative.