Script negli Stylesheet: XSL Script Processing (T1220)

Per simulare questa tecnica in laboratorio è necessario comprendere entrambi i vettori d'attacco e le loro varianti. Il primo passo è costruire un file XSL che contenga codice embedded: un semplice stylesheet con un blocco <msxsl:script> in JScript o un elemento <script> CDATA è sufficiente per dimostrare l'esecuzione.

Vettore msxsl.exe. Il binario va scaricato dal sito Microsoft (non è più ufficialmente distribuito, ma copie archiviate esistono) e posizionato nella directory di test. Le tre varianti di invocazione documentate mostrano la flessibilità dell'abuso:

• msxsl.exe customers.xml script.xsl — forma canonica con file XML sorgente e stylesheet separati
• msxsl.exe script.xsl script.xsl — il file XSL viene passato come entrambi gli argomenti, poiché è XML valido
• msxsl.exe script.jpeg script.jpeg — estensione arbitraria per eludere filtri basati su filename

Quest'ultima variante è particolarmente rilevante in un engagement, perché molte regole di detection si basano sull'estensione .xsl e possono essere bypassate con un semplice rename.

Vettore Squiblytwo (WMIC). Questa variante non richiede binari aggiuntivi ed è quindi più realistica in scenari con accesso limitato:

wmic process list /FORMAT:evil.xsl

Per il test remoto, WMIC accetta URL diretti nello switch /FORMAT, permettendo il download e l'esecuzione in un singolo passo. In laboratorio, servite lo stylesheet XSL da un web server locale con Python:

python3 -m http.server 8080

Il framework Atomic Red Team (open source) include test atomici pre-costruiti per T1220 che automatizzano entrambi i vettori. Lo strumento consente di eseguire il test con un singolo comando PowerShell e verificare la corretta generazione di telemetria. Per la parte di payload delivery, è possibile usare Villain (open source) o Metasploit Framework (open source) per generare payload JScript da incorporare nello stylesheet.

Un aspetto spesso trascurato: durante il red team, verificate che il vostro XSL malevolo sia un documento XML ben formato, altrimenti il parser fallirà silenziosamente e il payload non verrà eseguito. Testate sempre la validità XML prima dell'uso con xmllint --noout script.xsl (disponibile nel pacchetto libxml2-utils su Linux).

La detection di T1220 si articola su due assi: il monitoraggio della creazione processi e il tracciamento del caricamento di DLL di scripting. Entrambi richiedono Sysmon o un EDR con visibilità analoga.

Log source primario: Sysmon. L'analisi documentata (DET0205) correla la creazione di processi con i pattern da riga di comando e il caricamento di moduli come jscript.dll o vbscript.dll. Per msxsl.exe il segnale è netto: la comparsa di questo binario in qualsiasi ambiente enterprise è quasi certamente anomala, dato che non è installato di default. Create un alert ad alta severità su EventCode 1 (Process Create) dove l'immagine contiene msxsl.exe.

Per il vettore Squiblytwo, il discriminante è lo switch /FORMAT nella command line di wmic.exe. Una regola Sigma efficace filtra EventCode 1 cercando wmic con argomenti che contengono /FORMAT: seguito da un percorso locale insolito o un URL. Attenzione però: WMIC usa legittimamente lo switch /FORMAT con stylesheet built-in come csv, list, table, quindi il tuning è essenziale per evitare valanghe di falsi positivi. Escludete i valori standard e concentratevi su percorsi personalizzati o riferimenti a domini esterni.

Il secondo livello di detection sfrutta EventCode 7 (Image Loaded) di Sysmon: quando msxsl.exe o wmic.exe caricano jscript.dll o vbscript.dll, è un forte indicatore di esecuzione di script embedded. La correlazione temporale tra l'EventCode 1 del processo padre e l'EventCode 7 del caricamento della DLL scripting — entro una finestra di pochi secondi — produce un alert ad alta fedeltà.

Ci sono quattro aree di tuning specifiche da considerare:

• Estensioni arbitrarie: gli attaccanti possono rinominare i file .xsl con estensioni insospettabili (.jpeg, .txt), quindi non filtrate mai per estensione ma per il comportamento del processo
• Parent process chain: validate il processo padre — msxsl.exe lanciato da cmd.exe figlio di outlook.exe è molto diverso da msxsl.exe lanciato da un IDE di sviluppo
• URL remoti: per il vettore WMIC remoto, mantenete una whitelist di domini aziendali legittimi per le trasformazioni XSL
• Finestra temporale: calibrate la correlazione tra DLL load e process spawn in base al vostro ambiente

Per ambienti con Windows Defender Application Control (WDAC), la mitigazione M1038 suggerisce di bloccare direttamente l'esecuzione di msxsl.exe se non necessario. Questo trasforma la detection in prevenzione: qualsiasi tentativo bloccato genera un evento di audit che è un alert a costo zero.

L'analisi forense di T1220 si concentra su artefatti di esecuzione, tracce di file XSL e indicatori di network per il vettore remoto. La buona notizia è che entrambi i binari coinvolti — msxsl.exe e wmic.exe — lasciano impronte significative su un sistema Windows.

Artefatti di esecuzione. Il punto di partenza è il database Amcache (C:\Windows\appcompat\Programs\Amcache.hve), che registra l'esecuzione di binari con hash SHA1 e percorso completo. La comparsa di msxsl.exe in Amcache è un indicatore forte, dato che il binario non è parte dell'installazione standard di Windows. Estraete le entry con:

AmcacheParser.exe -f Amcache.hve --csv output_dir

AmcacheParser di Eric Zimmerman (open source) permette di parsare il registro in formato CSV per un'analisi agevole. Parallelamente, verificate Prefetch (C:\Windows\Prefetch\MSXSL.EXE-*.pf): il file .pf contiene i timestamp delle ultime otto esecuzioni e la lista dei file referenziati durante il lancio, inclusi gli stylesheet XSL caricati.

PECmd.exe -f "C:\Windows\Prefetch\MSXSL.EXE-.pf" --csv output_dir*

PECmd (open source) di Eric Zimmerman decodifica i file Prefetch mostrando i file accessati. Se lo stylesheet XSL era ospitato su un path insolito — %TEMP%, %APPDATA%, o una directory utente — questo emerge chiaramente nell'output.

Artefatti di rete per il vettore remoto. Quando WMIC o msxsl.exe scaricano uno stylesheet da URL remoto, le connessioni transitano attraverso il componente WinHTTP. Cercate nel log Sysmon EventCode 3 (Network Connection) le connessioni in uscita originate da wmic.exe o msxsl.exe. Sul disco, il WebCache di Windows (WebCacheV01.dat) può contenere tracce della richiesta HTTP se il download è avvenuto tramite componenti COM che sfruttano il cache del sistema.

Per la campagna Operation Dream Job (C0022), il pattern forense specifico prevede il download di un file XSL remoto da parte del Lazarus Group, che conteneva una DLL downloader codificata in Base64. In questo scenario, l'analista dovrebbe cercare nella timeline non solo l'esecuzione del processo XSL ma anche la scrittura su disco della DLL decodificata e la sua successiva esecuzione — collegando l'EventCode 11 (FileCreate) di Sysmon con l'EventCode 1 del processo figlio.

Ricostruite la timeline consolidando gli eventi Sysmon, Amcache e Prefetch con Timeline Explorer (open source) o importandoli in Plaso/log2timeline (open source) per una supertimeline che evidenzi la catena: download XSL → esecuzione msxsl/wmic → load jscript.dll → creazione payload → esecuzione payload.

La tecnica T1220 ha un'impronta operativa precisa: è impiegata da gruppi con forte orientamento al proxy execution tramite binari trusted, tipicamente nelle fasi iniziali post-accesso per stabilire persistenza o scaricare componenti aggiuntivi eludendo i controlli.

Cobalt Group (G0080) rappresenta l'esempio canonico di abuso di msxsl.exe. Questo gruppo, noto per campagne ad alto volume contro il settore finanziario, ha utilizzato il binario specificamente per aggirare AppLocker e invocare codice JScript da file XSL. La scelta di msxsl.exe è coerente con il modus operandi del gruppo, che predilige LOLBins e utility Microsoft per minimizzare la propria impronta sul sistema. La presenza di msxsl.exe in un'indagine dovrebbe far scattare un'analisi incrociata con altri TTP tipici di Cobalt Group.

Higaisa (G0126), gruppo meno noto ma attivo nella regione Asia-Pacifico, ha utilizzato file XSL per eseguire VBScript. La scelta di VBScript anziché JScript è un discriminante tattico utile: durante il triage, il tipo di linguaggio embedded nello stylesheet può aiutare a restringere l'attribuzione. Higaisa tendenzialmente opera con catene d'infezione multistadio dove lo stylesheet XSL è un passaggio intermedio, non il payload finale.

Sul fronte software, Astaroth (S0373) utilizza stylesheet XSL ospitati su domini remoti per eseguire JScript o VBScript inline. Astaroth è un malware focalizzato sul furto di credenziali, storicamente attivo in America Latina, e il suo uso di XSL remoti lo distingue dagli approcci file-based di Cobalt Group e Higaisa.

La campagna Operation Dream Job (C0022), attribuita al Lazarus Group e attiva tra settembre 2019 e agosto 2020, ha colpito settori difesa, aerospaziale e governativo in Stati Uniti, Israele, Australia, Russia e India. L'uso di uno script XSL remoto per scaricare una DLL downloader codificata in Base64 dimostra come la tecnica venga integrata in operazioni di cyber-spionaggio sofisticate, ben oltre il semplice bypass di AppLocker.

Il pattern emergente è chiaro: T1220 viene adottata sia da gruppi orientati al profitto finanziario (Cobalt Group), sia da attori state-sponsored (Lazarus tramite Operation Dream Job), sia da malware commodity (Astaroth). Questo la rende una tecnica trasversale di cui monitorare l'evoluzione, specialmente alla luce della progressiva deprecazione di WMIC nelle versioni recenti di Windows, che potrebbe spostare gli attaccanti verso il solo vettore msxsl.exe o verso varianti basate su .NET con XslCompiledTransform.

Framework MITRE ATT&CK v16 — Tecnica T1220, Tattica TA0005, Campagna C0022 (Operation Dream Job), Mitigazione M1038, Detection DET0205/AN0581. Gruppi: G0080, G0126. Software: S0373. Tool di detection: Sysmon, AmcacheParser, PECmd, Timeline Explorer, Plaso/log2timeline. Integrato con conoscenza professionale per tool e procedure operative.