Doppia Estensione: Masquerading via Double File Extension (T1036.007)

Per testare la vulnerabilità dei tuoi sistemi a questa tecnica, inizia creando un file con doppia estensione. Su Windows, apri PowerShell e crea un semplice eseguibile mascherato:

echo "MZ" > report.pdf.exe

Il trucco sta nel configurare Windows per nascondere le estensioni conosciute. Verifica le impostazioni correnti del sistema con:

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt

Se il valore è 1, le estensioni sono nascoste e il file apparirà come "report.pdf" nell'Explorer.

Per simulare scenari più complessi come quelli usati dal malware Bazar, crea file con nomi lunghi che spingono l'estensione reale fuori dalla vista:

copy calc.exe "Quarterly_Financial_Report_2024_Q1_Final_Version_Approved.docx.exe"

Su Linux la tecnica è meno efficace ma puoi comunque testare comportamenti simili. Crea un file con doppia estensione e verifica come appare in diversi file manager:

touch malicious.txt.sh && chmod +x malicious.txt.sh

Il malware Milan utilizza estensioni come .exe.config per sembrare file di configurazione. Replica questo approccio creando eseguibili che mimano file di sistema comuni. DarkGate invece preferisce mascherare file LNK come PDF usando l'estensione .pdf.lnk.

Per automatizzare i test, costruisci uno script che generi diverse combinazioni di estensioni e verifichi quali vengono nascoste dal sistema target. Includi estensioni comuni come .txt, .doc, .jpg seguite da .exe, .scr, .hta per coprire i vettori più utilizzati dagli attaccanti.

La detection strategy DET0366 offre un approccio comportamentale per identificare questa tecnica. Configura Sysmon per catturare la creazione di file con pattern sospetti monitorando l'EventCode 11.

Crea una regola che identifichi file con doppia estensione nelle directory critiche:

TargetFilename: "\Downloads\.txt.exe" OR "\Desktop\.doc.exe" OR "\Temp\.pdf.exe"

Il vero valore sta nel correlare la creazione del file con la sua esecuzione. Quando Sysmon registra un EventCode 1 (process creation) che origina da un file con doppia estensione creato di recente, hai probabilmente identificato un attacco.

Implementa una finestra temporale di correlazione di 5-10 minuti tra creazione ed esecuzione per ridurre i falsi positivi. Focus particolare su percorsi come %TEMP%, Downloads e Desktop dove tipicamente atterrano i file scaricati.

I gruppi Kimsuky e Mustang Panda utilizzano spesso questa tecnica in campagne di spearphishing. Configura alert specifici per pattern di nomi file che includono termini come "invoice", "report", "document" seguiti da doppie estensioni.

Per migliorare la detection, monitora anche l'apertura di file con estensione .lnk mascherati come documenti. Questi shortcut Windows sono particolarmente insidiosi perché possono eseguire comandi PowerShell nascosti mantenendo un'apparenza innocua.

Durante un'analisi forense, la ricerca di file con doppia estensione richiede un approccio metodico. Su Windows, interroga il Master File Table (MFT) per identificare tutti i file creati con pattern sospetti:

fsutil usn readjournal C: csv | findstr /i ".txt.exe .doc.exe .pdf.exe"

L'MFT conserva informazioni dettagliate sui file anche dopo la loro eliminazione, permettendoti di ricostruire l'attività storica.

Esamina le Windows Prefetch files per evidenziare l'esecuzione di file con doppia estensione. I file .pf in C:\Windows\Prefetch contengono timestamp e contatori di esecuzione che aiutano a stabilire quando e quante volte un file malevolo è stato lanciato.

Il registro di Windows conserva tracce significative. Controlla le chiavi UserAssist per identificare programmi eseguiti dall'utente:

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist" /s

Analizza i Jump Lists in %AppData%\Microsoft\Windows\Recent\AutomaticDestinations che possono rivelare file aperti con applicazioni legittime ma che in realtà erano eseguibili mascherati.

Per Linux, esamina i log di bash history e audit logs cercando pattern di esecuzione anomali. Il comando ausearch può filtrare eventi di esecuzione correlati a file con estensioni multiple.

La timeline reconstruction deve collegare la creazione del file (spesso via download o email attachment), la sua presenza sul filesystem e l'eventuale esecuzione. Documenta ogni timestamp UTC per costruire una sequenza temporale precisa dell'incidente.

Kimsuky rappresenta il caso più interessante nell'uso di questa tecnica. Il gruppo nordcoreano non si limita a mascherare eseguibili ma utilizza specificamente file LNK camuffati da PDF con l'estensione .pdf.lnk. Questa scelta riflette una comprensione profonda del comportamento degli utenti target che si aspettano documenti PDF nelle comunicazioni professionali.

La loro metodologia suggerisce campagne mirate contro organizzazioni che scambiano frequentemente documentazione sensibile. Kimsuky tende a riutilizzare infrastruttura e tecniche, quindi la presenza di file .pdf.lnk in un ambiente dovrebbe triggerare un'analisi approfondita di potenziali campagne correlate.

Mustang Panda adotta un approccio più generico ma altrettanto efficace. Il gruppo cinese utilizza la doppia estensione principalmente in campagne di spearphishing massive, puntando sulla quantità piuttosto che sulla personalizzazione come Kimsuky.

L'overlap tecnologico è evidente nel malware utilizzato. Bazar con i suoi file PreviewReport.DOC.exe mira chiaramente a contesti aziendali. Milan invece usa pattern come companycatalog.exe.config per sembrare parte dell'infrastruttura IT esistente. DarkGate combina entrambi gli approcci, utilizzando sia .pdf.lnk che altre combinazioni a seconda del target.

L'evoluzione di questa tecnica mostra una tendenza verso estensioni sempre più sofisticate che mimano formati emergenti o tecnologie specifiche del target. Monitora l'emergere di nuove combinazioni che sfruttano estensioni di collaboration tools o formati cloud-native.

Questa analisi si basa sul framework MITRE ATT&CK per la tecnica T1036.007. I dettagli sui gruppi APT Kimsuky (G0094) e Mustang Panda (G0129) provengono dalle rispettive documentazioni di threat intelligence. Le informazioni sui malware Bazar (S0534), Milan (S1015) e DarkGate (S1111) derivano da analisi di campioni e report di incident response documentati.