Travestimento di File: Masquerade File Type (T1036.008)

Per testare la resilienza dei sistemi aziendali contro il mascheramento dei file, inizia creando payload che ingannano le validazioni superficiali. Su Windows, genera un eseguibile mascherato:

copy /b legitimate.jpg + payload.exe disguised.jpg

Il file risultante mantiene l'header JPEG (0xFF 0xD8) ma contiene codice eseguibile. Per renderlo ancora più credibile, modifica l'estensione e l'icona utilizzando Resource Hacker per appropriarti dell'aspetto di documenti Word o PDF.

Su Linux, crea un file polyglot che funziona sia come immagine che come script:

echo -e '\xFF\xD8\xFF\xE0' > polyglot.jpg echo '#!/bin/bash' >> polyglot.jpg echo 'whoami' >> polyglot.jpg

Per automatizzare il processo in laboratorio, utilizza framework come Brute Ratel C4 che nativamente supporta il mascheramento attraverso icone Microsoft Word per file LNK malevoli. Alternativamente, QakBot dimostra tecniche avanzate nascondendo payload come finti PNG all'interno di file LNK.

Il testing più realistico prevede la creazione di USB infette con Raspberry Robin, dove file LNK mascherati da cartelle legittime si attivano all'apertura. Simula anche la tecnica di Volt Typhoon rinominando database sensibili con estensione .gif per eludere i DLP durante l'esfiltrazione.

Per validare l'efficacia, testa contro endpoint con antivirus commerciali verificando quali combinazioni di header/estensione bypassano i controlli. Documenta meticolosamente quali vendor rilevano anomalie tra magic bytes e estensioni dichiarate.

La detection efficace richiede analisi comportamentale oltre la semplice verifica delle estensioni. Implementa regole che correlino la creazione di file con estensioni benigne alla loro successiva esecuzione.

Su Windows con Sysmon, monitora EventCode 11 (FileCreate) per file con estensioni non eseguibili in directory sensibili come %TEMP% e %APPDATA%. Correla questi eventi con EventCode 1 (ProcessCreate) entro una finestra temporale di 5 minuti per identificare esecuzioni anomale.

La strategia DET0226 suggerisce di calcolare un ParentProcessAnomalyScore basato su combinazioni inusuali padre-figlio. Ad esempio, notepad.exe che genera cmd.exe dopo aver aperto un "documento" .txt è altamente sospetto.

Per ridurre i falsi positivi, mantieni una whitelist di applicazioni legittime che processano file multimediali. Tuttavia, presta attenzione particolare quando Preview su macOS o Windows Photo Viewer generano processi figli inattesi.

Implementa controlli sui magic bytes utilizzando YARA rules che verifichino discrepanze tra header dichiarati ed effettivi. Un file con estensione .jpg ma header PE (MZ) richiede investigazione immediata. Configura il MagicByteMismatchThreshold per bilanciare detection e rumore operativo.

Su Linux, sfrutta auditd per monitorare execve di file in /tmp o ~/Downloads con estensioni atipiche. La correlazione tra modifiche di file (chmod +x) e successive esecuzioni rivela tentativi di mascheramento in tempo reale.

Durante l'analisi post-compromissione, i file mascherati lasciano tracce distintive che permettono di ricostruire l'attacco. Inizia esaminando il Master File Table (MFT) su Windows per identificare discrepanze tra timestamp di creazione e modifica che suggeriscono manipolazione.

L'analisi degli artefatti di Operation Dream Job rivela che Lazarus Group utilizzava template mascherati da JPEG. Questi file mantenevano l'estensione .jpg ma contenevano macro Office attive. Cerca pattern simili verificando la presenza di stringhe OLE all'interno di presunti file immagine.

Durante l'attacco 2016 Ukraine Electric Power Attack, Sandworm Team mascherava eseguibili come file .txt. L'analisi forense mostra che questi file venivano prima scritti su disco con estensione benigna, poi rinominati o eseguiti direttamente tramite rundll32.exe.

Per ricostruire la timeline, correla i log di file system con quelli di esecuzione. Su Windows, incrocia USN Journal con Prefetch files per identificare quando un "documento" è stato effettivamente eseguito come binario. La presenza di file .pf per presunti documenti indica chiaramente mascheramento.

Esamina anche Windows ShellBags per tracciare come l'utente ha interagito con file mascherati. Le icone personalizzate utilizzate da malware come OSX_OCEANLOTUS.D lasciano tracce nel registro che persistono anche dopo la rimozione del file.

Su sistemi Linux, analizza .bash_history e auth.log per identificare comandi di esecuzione anomali su file con estensioni non eseguibili. La timeline si completa correlando questi eventi con modifiche in /var/log/secure che mostrano escalation di privilegi post-esecuzione.

Mustang Panda (G0129) rappresenta il caso d'uso più sofisticato del mascheramento, utilizzando file apparentemente legittimi per distribuire PlugX. Il gruppo mantiene consistenza operativa mascherando gli eseguibili con estensioni di documenti comuni nelle loro campagne di spear phishing.

Volt Typhoon (G1017) adotta un approccio diverso, focalizzandosi sul mascheramento durante l'esfiltrazione. L'uso di estensioni .gif per database ntds.dit indica preparazione meticolosa per bypassare DLP che filtrano per tipo di file. Questa tattica suggerisce operazioni a lungo termine con necessità di movimento laterale silenzioso.

BlackByte (G1043) dimostra innovazione tecnica mascherando file di configurazione contenenti chiavi di cifratura come PNG. Questo pattern indica consapevolezza delle tecniche di detection e suggerisce che il gruppo continuerà a evolvere verso file polyglot più complessi.

L'analisi dei malware mostra convergenza verso tecniche comuni. Lumma Stealer, StrelaStealer e MagicRAT utilizzano tutti varianti di mascheramento, indicando che questa tecnica è diventata standard nel toolkit criminale. La presenza di file polyglot DLL/HTML in StrelaStealer suggerisce che i gruppi stanno investendo in capacità multi-piattaforma.

Le campagne documentate rivelano che il mascheramento viene tipicamente combinato con ingegneria sociale. Operation Dream Job sfruttava offerte di lavoro false con allegati mascherati, mentre l'attacco ucraino del 2016 utilizzava documenti apparentemente innocui per la distribuzione iniziale. Aspettati evoluzione verso deepfake e contenuti AI-generati per aumentare la credibilità del mascheramento.

Framework MITRE ATT&CK T1036.008. Campagne documentate: Operation Dream Job (C0022) con focus su tecniche Lazarus Group, 2016 Ukraine Electric Power Attack (C0025) attribuito a Sandworm Team. Risorse detection: strategie DET0226 per Windows, AN0631 per Linux, AN0632 per macOS.