Offuscamento dei Comandi: Command Obfuscation (T1027.010)

La simulazione dell'offuscamento comandi in laboratorio è un esercizio fondamentale per validare le capacità di detection del blue team. L'obiettivo non è creare malware, ma generare campioni realistici di command-line offuscate che riproducano i pattern osservati nelle campagne reali.

Invoke-Obfuscation (open source) è il punto di partenza naturale. Si tratta del framework PowerShell creato da Daniel Bohannon, lo stesso strumento adottato da APT32, MuddyWater e dal malware QUADAGENT e RogueRobin. Dopo averlo importato in una sessione PowerShell, il menu interattivo permette di selezionare diverse tecniche — TOKEN, STRING, ENCODING, COMPRESS, LAUNCHER — e applicarle a un payload arbitrario:

Import-Module ./Invoke-Obfuscation.psd1 Invoke-Obfuscation

Dall'interno del framework, si specifica il comando da offuscare con SET SCRIPTBLOCK e si seleziona la tecnica desiderata. La modalità ENCODING/1 produce output Base64, replicando il comportamento di almeno 18 dei 28 gruppi censiti. La modalità TOKEN frammenta variabili e stringhe, simulando le tecniche di FIN7 e Silence.

Per il versante CMD/batch, Invoke-DOSfuscation (open source) è il complemento ideale. Genera varianti offuscate di comandi DOS usando FOR loop, variabili d'ambiente e concatenazione, replicando le tattiche di FIN8 che sfrutta proprio stdin e variabili d'ambiente per mascherare gli argomenti.

Su Linux, l'offuscamento si simula manualmente con costrutti nativi della shell. Alcuni esempi operativi che riproducono pattern documentati:

• Inversione con rev: echo 'dwssap/cte/ tac' | rev — ricostruisce cat /etc/passwd al contrario.
• Base64 encoding: echo "whoami" | base64 seguito da echo "d2hvYW1p" | base64 -d | bash — replica l'approccio di decine di gruppi, da Aquatic Panda a TA505.
• String splitting con variabili: assegnare frammenti del comando a variabili distinte e concatenarle al momento dell'esecuzione, come a="who"; b="ami"; $a$b.

Per test su macOS, osascript consente l'esecuzione di AppleScript con stringhe offuscate. Il tool pyminifier (open source), usato dal malware PoetRAT, offusca script Python ed è utile per generare campioni di test cross-platform.

Un esercizio red team completo prevede di eseguire queste varianti contro un endpoint monitorato da Sysmon (open source) configurato con logging della command line (EventID 1), verificando quali campioni vengono rilevati e quali sfuggono. Il tool Revoke-Obfuscation (open source), sempre di Bohannon, permette al blue team di rispondere calcolando l'entropia e la complessità AST dei comandi PowerShell intercettati.

La detection dell'offuscamento comandi non può basarsi su una lista di stringhe sospette: le varianti sono infinite e ogni firma statica viene aggirata con una singola modifica sintattica. L'approccio efficace è comportamentale, fondato su anomalie statistiche della command line.

Il pilastro della detection su Windows è il log Security EventID 4688 con audit della command line abilitato, oppure — preferibilmente — Sysmon (open source) con EventID 1 (Process Creation), che cattura la riga di comando completa e il processo padre. Su queste sorgenti si costruiscono tre famiglie di alert.

La prima è il calcolo dell'entropia. Una command line PowerShell legittima ha un'entropia Shannon tipicamente sotto 4.5; una stringa Base64 o XOR-encoded sale oltre 5.5. Il tuning parameter CommandLineEntropyThreshold va calibrato sull'ambiente: negli ambienti con automazione pesante (Ansible, SCCM) le baseline saranno più alte. Si parte da un periodo di osservazione di 2-3 settimane per stabilire il percentile 99 e impostare la soglia appena sopra.

La seconda famiglia è la frequenza di caratteri speciali. Comandi con più di 5-6 occorrenze di ^, %, + in un'unica riga, oppure con pattern di concatenazione tipo "Wor"+"d.App", sono statisticamente anomali. Il parametro SuspiciousCharacterCount va tarato escludendo i path di sistema noti e i comandi di build pipeline.

La terza è la lunghezza anomala combinata con il processo padre. Un powershell.exe -enc lanciato da winword.exe o mshta.exe con una command line oltre i 500 caratteri merita un alert ad alta priorità, perché replica esattamente il pattern di Emotet, QakBot e delle campagne Frankenstein e C0021.

Su Linux, il data source primario è auditd con regole che intercettano le syscall execve. Combinandolo con osquery (open source) si possono creare query schedulate che cercano invocazioni di bash -c o sh -c con argomenti contenenti pipe multiple (|), eval, base64 -d, o la sequenza echo ... | rev. Il parametro EncodedExecRegex va personalizzato con regex che catturino i pattern specifici dell'ambiente, escludendo gli script di manutenzione legittimi.

Su macOS, i log Unified Log e Endpoint Security framework catturano le invocazioni di osascript, bash, zsh. Il parametro InterpreterParentFilter limita lo scope agli interpreti rilevanti, riducendo il rumore.

Per la mitigazione attiva, le regole ASR (Attack Surface Reduction) di Microsoft Defender su Windows 10+ permettono di bloccare direttamente l'esecuzione di script potenzialmente offuscati. L'integrazione con AMSI (Antimalware Scan Interface) è particolarmente efficace perché analizza il contenuto dopo la de-offuscazione da parte dell'interprete, intercettando il payload reale indipendentemente dal livello di encoding. I falsi positivi si gestiscono con whitelist basate su hash dello script e identità del processo padre, mai su path — troppo facili da replicare.

L'analisi forense dell'offuscamento comandi è paradossalmente avvantaggiata dal fatto che Windows e Linux registrano la riga di comando così come viene digitata, offuscamento incluso. Questo significa che gli artefatti contengono l'intera stringa offuscata, che diventa sia evidenza sia punto di partenza per la decodifica.

Su Windows, la prima fonte è il registro eventi Security con EventID 4688 (se il command-line auditing è abilitato) e i log Sysmon con EventID 1. Entrambi preservano la command line completa, il SID dell'utente, il processo padre e il timestamp preciso. In un caso che replichi i pattern di Wizard Spider o GOLD SOUTHFIELD, ci si aspetta di trovare invocazioni di powershell.exe -EncodedCommand seguite da un blob Base64 che, una volta decodificato, rivela il payload Empire o il comando di esfiltrazione.

La decodifica va eseguita sistematicamente. Per Base64 puro, il comando è immediato: si copia il blob e lo si decodifica con lo strumento preferito. Per livelli multipli — come quelli di Netwalker, che combina Base64, esadecimale e XOR — il processo è iterativo: ogni strato di decodifica rivela il successivo. Il tool CyberChef (open source, GCHQ) è lo strumento d'elezione per questa operazione, grazie alla funzionalità "Magic" che tenta automaticamente di identificare e rimuovere strati di encoding.

Un artefatto spesso trascurato è il registro PowerShell/Operational con EventID 4104 (Script Block Logging). Quando abilitato, registra il contenuto degli script dopo la de-offuscazione eseguita dall'interprete, fornendo il payload in chiaro anche quando la command line è completamente illeggibile. Questo è particolarmente prezioso per i casi che coinvolgono Invoke-Obfuscation, dove il comando originale può essere frammentato in decine di token. Il log Module Logging (EventID 4103) completa il quadro con i dettagli di ogni modulo PowerShell caricato.

Su Linux, auditd con la regola sulla syscall execve cattura gli argomenti completi. I file di history della shell (.bash_history, .zsh_history) possono contenere i comandi offuscati se l'attaccante non li ha cancellati, ma vanno considerati inaffidabili perché facilmente manipolabili. I file temporanei in /tmp meritano attenzione: il pattern di Machete e degli attori di Operation Wocao prevede la scrittura di script intermedi compressi con zlib e codificati Base64 che vengono poi decodificati ed eseguiti.

Per la ricostruzione della timeline, il flusso è: identificare il primo comando offuscato nel tempo → decodificarlo → correlare il payload risultante con l'attività successiva (creazione file, connessione di rete, movimento laterale). La correlazione con EventID 3 di Sysmon (Network Connection) e EventID 11 (File Creation) permette di tracciare l'intera catena causale: il comando offuscato che scarica un secondo stadio, che a sua volta avvia il C2.

Su macOS, i log Unified Log catturano le esecuzioni di osascript e degli interpreti shell. Il file di quarantina (com.apple.quarantine) e gli attributi estesi dei file scaricati forniscono contesto sull'origine del payload, utile per correlare con il vettore di delivery iniziale.

L'offuscamento dei comandi è una tecnica trasversale, ma l'analisi dei 28 gruppi censiti rivela pattern di preferenza che diventano indicatori di attribuzione. La scelta della tecnica di offuscamento non è casuale: riflette il tooling, la sofisticazione e la cultura operativa del gruppo.

MuddyWater rappresenta l'esempio più emblematico di offuscamento stratificato. Il gruppo iraniano combina Invoke-Obfuscation con encoding Base64 di VBScript e PowerShell, creando catene multi-layer che rispecchiano la complessità del suo malware POWERSTATS — a sua volta offuscato con sostituzione di caratteri, variabili d'ambiente e XOR. Questo pattern di offuscamento aggressivo e ridondante è condiviso con Fox Kitten e Magic Hound, suggerendo un ecosistema di tool condivisi tra gruppi affiliati all'apparato iraniano. HEXANE, anch'esso iraniano, utilizza script Base64-encoded, confermando la predilezione regionale per questo approccio.

Il cluster finanziario FIN6/FIN7/FIN8 mostra un'evoluzione interessante. FIN6 e FIN7 condividono l'uso di PowerShell encoded, ma FIN7 aggiunge frammentazione di stringhe, variabili d'ambiente e stdin — un livello di sofisticazione che indica operatori con competenze di sviluppo superiori. FIN8 porta questa filosofia ancora oltre, combinando variabili d'ambiente e stdin con macro offuscate, replicando un approccio che privilegia la furtività del delivery rispetto all'offuscamento del payload.

Il panorama ransomware adotta l'offuscamento come commodity. Wizard Spider, GOLD SOUTHFIELD, Play e gli attori della campagna C0018 utilizzano tutti Base64 su PowerShell per le attività post-compromissione. Lo stesso pattern emerge nella campagna SharePoint ToolShell Exploitation (C0058), dove attori diversi — dal ransomware allo spionaggio — hanno tutti eseguito comandi PowerShell Base64-encoded dopo lo sfruttamento delle vulnerabilità SharePoint. Questo approccio minimalista è coerente con la priorità degli operatori ransomware: velocità di esecuzione piuttosto che elusione prolungata.

Turla si distingue per sofisticazione. L'uso di 3DES salted tramite PowerSploit (Out-EncryptedScript.ps1) combinato con nomi di variabili randomizzati e Base64 è un approccio multi-layer che riflette le risorse e la pazienza operativa tipiche di un gruppo state-sponsored russo. La distanza tecnica tra l'offuscamento di Turla e quello di Gamaredon Group — che si limita a script offuscati o cifrati generici — rispecchia la gerarchia operativa nota tra i due gruppi, entrambi legati a interessi russi ma a livelli di sofisticazione molto diversi.

L'analisi delle campagne rafforza il quadro. Operation CuckooBees (C0012) e Operation Wocao (C0014), entrambe attribuite ad attori cinesi, condividono l'offuscamento di script VBS e PowerShell con compressione, un pattern che si distingue dall'approccio "solo Base64" degli attori iraniani. La campagna Frankenstein (C0001) è particolarmente rivelatrice: attori moderatamente sofisticati hanno assemblato tool open source tra cui Empire, dimostrando che l'offuscamento dei comandi è accessibile anche a gruppi con risorse limitate grazie alla disponibilità di framework pronti all'uso.

Framework MITRE ATT&CK v16 — T1027.010 Command Obfuscation, TA0005 Defense Evasion. Campagne: C0001 (Frankenstein), C0021, C0012 (Operation CuckooBees), C0018, C0058 (SharePoint ToolShell Exploitation), C0014 (Operation Wocao). Tool di detection: Sysmon, auditd, osquery, CyberChef, Revoke-Obfuscation, AMSI. Integrato con conoscenza professionale per tool e procedure operative.