Payload Nascosti nei File Legittimi: Embedded Payloads (T1027.009)

L'obiettivo in laboratorio è dimostrare che un payload nascosto all'interno di un file legittimo attraversa i controlli senza generare alert, oppure — se le difese funzionano — capire a quale livello scatta la detection. I vettori da testare sono tre: overlay binario su PE, payload embedded in immagini e script annidati.

Overlay su eseguibile Windows. La forma più elementare di embedding è appendere dati dopo la fine logica di un PE. In un ambiente controllato, si può usare un semplice comando di concatenazione per creare un binario con overlay:

copy /b legit.exe + payload.bin combined.exe

Il file risultante mantiene la firma digitale dell'originale (se presente), ma il suo hash cambia. Per analizzare la struttura risultante, lo strumento pecheck.py della suite di Didier Stevens (open source) permette di identificare la dimensione dell'overlay e le sezioni anomale. In alternativa, pestudio (freemium) offre un'interfaccia grafica che evidenzia immediatamente sezioni con entropia elevata.

Embedding in immagini con PowerShell. Il tool Invoke-PSImage (open source) consente di codificare un payload PowerShell all'interno dei byte di un file PNG. La sintassi di base prevede la specifica dell'immagine sorgente, dello script da incorporare e del file di output. Una volta generata l'immagine, il payload si estrae con una one-liner PowerShell che legge i pixel e ricostruisce lo script in memoria, senza mai scrivere su disco. Questo scenario replica direttamente il comportamento documentato per Lazarus Group, che ha distribuito payload malevoli embedded in file PNG.

Script annidati su macOS. Per replicare la catena di macOS.OSAMiner, che annida run-only AppleScript dentro altri run-only AppleScript, si può usare l'editor di Script Editor per esportare uno script in formato run-only, poi incorporarne il percorso di estrazione in un secondo script. Il comando osacompile -o outer.scpt -x inner_loader.applescript produce uno script compilato; il flag -x genera il formato run-only che impedisce la lettura del sorgente.

Payload cifrato nelle risorse PE. Per simulare il pattern usato da malware come CHIMNEYSWEEP o DEADWOOD, è possibile creare un progetto C/C++ che includa un blob cifrato RC4 o AES nella sezione risorse (.rsrc). A compile-time il payload è un RCDATA opaco; a runtime il dropper lo estrae con le API FindResource, LoadResource, LockResource, lo decifra e lo esegue in memoria via CreateThread o process injection. Il framework Metasploit (open source) include template di dropper con embedded payload configurabili tramite msfvenom con l'opzione di encoding multiplo.

Per la validazione, sottomettere il campione generato su un'istanza locale di YARA (open source) con regole che cercano alta entropia nelle sezioni risorse e overlay, e verificare la risposta dell'EDR in ambiente lab.

Il cuore della detection per i payload embedded è la correlazione tra due eventi distinti: la scrittura su disco di un file figlio e la sua esecuzione immediata da parte del processo padre. Singolarmente nessuno dei due eventi è sospetto; insieme, in una finestra temporale stretta, raccontano la storia di un dropper che estrae ed esegue il proprio carico.

Log source primari. Su Windows, Sysmon è la spina dorsale. L'EventCode 11 (FileCreate) cattura la scrittura del payload estratto — tipicamente in %Temp%, %AppData% o nella directory corrente — mentre l'EventCode 1 (ProcessCreate) registra l'esecuzione. La correlazione va costruita sul campo ProcessGuid del padre: se lo stesso processo scrive un eseguibile e poi lo lancia entro un TimeWindow di pochi secondi (parametro da calibrare, buon punto di partenza 5-10 secondi), si ha un candidato ad alta priorità. L'EventCode 7 (ImageLoaded) completa il quadro catturando il caricamento di DLL non firmate dallo stesso percorso temporaneo — esattamente il pattern di BADHATCH con il suo second stage DLL.

Su Linux, auditd con regole sulla syscall execve combinate con openat e write sulle directory temporanee offre visibilità analoga. Uno stack eBPF tramite strumenti come bpftrace (open source) permette di correlare scrittura ed esecuzione a livello kernel con overhead contenuto. Il parametro FileSectionCount è utile per ELF con sezioni appendate: un binario con più di 25-30 sezioni merita un secondo sguardo.

Su macOS, il sottosistema Endpoint Security (ES) registra eventi di creazione file e di esecuzione. Per lo scenario run-only AppleScript, il parametro ScriptFormatType va settato per generare alert quando osascript carica script compilati non firmati. Il DroppedBinaryCount aiuta a filtrare: un processo che scrive più di due binari distinti è anomalo.

Riduzione dei falsi positivi. Installer e updater legittimi estraggono ed eseguono file continuamente. La chiave è il parametro OverlaySizeThreshold: i payload embedded generano overlay significativi (spesso superiori a 100 KB), mentre i metadati legittimi appendati a PE (signature Authenticode, risorse di debug) restano sotto quella soglia. Combinare la dimensione dell'overlay con l'entropia della sezione — un overlay cifrato ha entropia prossima a 8.0 — riduce drasticamente il rumore.

Le regole ASR (Attack Surface Reduction) di Windows Defender, come indicato nelle mitigazioni, possono bloccare l'esecuzione di script potenzialmente offuscati, ma vanno testate in modalità audit prima del deploy in blocco per evitare impatti operativi.

L'analisi forense di un payload embedded ruota attorno a tre artefatti fondamentali: il file contenitore, il payload estratto e le tracce di esecuzione. La sfida è che il payload spesso vive solo in memoria o viene cancellato subito dopo l'uso, quindi la sequenza di acquisizione è critica.

Artefatti su disco — Windows. Il primo punto di raccolta è la directory %Temp%. Emotet scrive il proprio payload estratto come setup.exe in quella posizione, e MultiLayer Wiper vi deposita i componenti MultiList e MultiWip prima di cancellarli post-esecuzione. Il filesystem NTFS conserva però i record MFT anche dopo la cancellazione: con MFTECmd di Eric Zimmerman (open source) è possibile recuperare i timestamp $SI e $FN delle entry orfane. La discrepanza tra il timestamp di creazione $STANDARD_INFORMATION e quello $FILE_NAME — il cosiddetto timestomping gap — rivela se il dropper ha tentato di manipolare le date.

La Prefetch di Windows (C:\Windows\Prefetch) è il secondo pilastro. Ogni eseguibile estratto ed eseguito genera un file .pf che registra il percorso originale, il conteggio delle esecuzioni e i timestamp delle ultime otto run. Se il payload è stato cancellato dal disco, la Prefetch ne conserva comunque il nome e il percorso. PECmd (open source) dello stesso autore parsifica questi file in formato CSV per l'ingestione in timeline.

Per i payload che non toccano mai il disco — come quelli di DUSTPAN e DUSTTRAP che decifrano ed eseguono in memoria — il dump della RAM è indispensabile. Volatility 3 (open source) con il plugin windows.malfind identifica regioni di memoria con permessi RWX (Read-Write-Execute) che non sono mappate a file su disco, firma tipica di codice iniettato. Il plugin windows.pe_dump consente poi di estrarre il PE dalla memoria per analisi statica.

Artefatti su disco — macOS e Linux. Su macOS, il Unified Log cattura l'invocazione di osascript con gli argomenti; per lo scenario macOS.OSAMiner si cerca la catena di esecuzione di script run-only annidati. Il database Spotlight (/.Spotlight-V100) registra i metadati dei file creati anche se successivamente rimossi, e FSEvents (/.fseventsd) logga creazione e cancellazione a livello di volume.

Su Linux, il journal di systemd e i log di auditd forniscono la sequenza write → chmod +x → execve. Per ELF con overlay, readelf -S (incluso in binutils, open source) mostra sezioni con offset oltre il limite delle section header — un indicatore immediato di dati appendati.

Ricostruzione della timeline. L'approccio consigliato è incrociare Prefetch, MFT, Sysmon EventCode 1/11 e dump di memoria in un'unica timeline con log2timeline/plaso (open source). Per la campagna C0057 (3CX Supply Chain Attack), ad esempio, la sequenza forense mostra il caricamento della DLL embedded tramite COM class factory: il pivot è il record Sysmon EventCode 7 con l'ImageLoaded che punta a una DLL non firmata in un percorso inatteso. Per C0021, l'artefatto chiave è il file LNK che contiene il payload base64-encoded — l'analisi con LECmd (open source) ne estrae i metadati incluso il percorso target e il command-line argument con la stringa codificata.

La tecnica degli embedded payloads è adottata da attori con profili operativi molto diversi, il che la rende un indicatore debole se presa isolatamente, ma un tassello prezioso quando combinata con altri TTP nella diamond model analysis.

Lazarus Group (G0032), attore nordcoreano attivo da oltre un decennio, utilizza file PNG come contenitore per i propri payload. Questa scelta non è casuale: le immagini attraversano proxy, CDN e filtri email con meno scrutinio rispetto agli eseguibili. Il collegamento con la campagna C0057 (3CX Supply Chain Attack) è significativo — un attacco alla supply chain a cascata dove il payload embedded in DLL veniva invocato tramite COM class factory. La catena di compromissione partiva da un software di trading trojanizzato e raggiungeva l'ambiente di build 3CX, colpendo poi i settori difesa e criptovalute. Per Lazarus, l'embedding è parte di una strategia più ampia di offuscamento multi-layer che include cifratura personalizzata e staging su infrastrutture legittime.

Moonstone Sleet (G1036) segue un approccio diverso ma complementare: incorpora payload in software trojanizzati, sfruttando la fiducia dell'utente verso applicazioni apparentemente legittime. Il pattern è quello del supply chain vector — l'utente scarica un'applicazione che funziona correttamente ma trasporta un secondo stadio nascosto. L'overlap con la catena di 3CX è evidente: entrambi gli attori sfruttano la distribuzione software come veicolo.

TA577 (G1037) rappresenta l'approccio più tattico e opportunistico: file LNK che eseguono DLL embedded. È un vettore tipico delle campagne di spearphishing massive, dove il file LNK arriva come allegato email e l'utente lo apre pensando sia un documento. La campagna C0021, pur associata ad attori diversi, utilizza lo stesso paradigma — payload base64-encoded dentro file LNK — e colpiva istituzioni governative, ONG e settore privato tra Stati Uniti, Europa e Asia.

Pattern trasversali. L'ecosistema software rivela una tendenza chiara: la cifratura del payload embedded è quasi universale. CHIMNEYSWEEP usa RC4, DEADWOOD usa AES con label METADATA, Dtrack cifra il payload nel dropper, SMOKEDHAM lo cripta come stringa, Pikabot combina XOR e AES-CBC. L'analista TI dovrebbe costruire cluster di attribuzione non solo sul tipo di cifratura ma sulla struttura del dropper: payload nella sezione risorse (.rsrc) vs. overlay vs. codifica nel codice sorgente. Malware come ComRAT e Uroburos, attribuiti allo stesso ecosistema, mostrano un pattern sofisticato dove il modulo embedded ha una funzione specifica (comunicazioni C2 cifrate, canali e chiavi di operazione).

La previsione operativa è che l'embedding evolva verso formati file sempre meno scrutinati — container OCI, pacchetti npm/PyPI, firmware update — dove la superficie di ispezione statica è ancora limitata.

Framework MITRE ATT&CK v16 — T1027.009 (Embedded Payloads), TA0005. Campagne: C0057 (3CX Supply Chain Attack), C0021. Detection: Sysmon (EventCode 1, 7, 11), auditd, macOS Endpoint Security. Tool forensi: Volatility 3, MFTECmd, PECmd, LECmd, plaso, readelf. Tool red team: Invoke-PSImage, Metasploit, pestudio. Integrato con conoscenza professionale per tool e procedure operative.