Storage Senza File: Fileless Storage (T1027.011)

La simulazione di fileless storage in laboratorio si concentra su due superfici d'attacco principali: il Registro di Windows e le directory di shared memory su Linux. L'obiettivo è dimostrare al cliente che i suoi controlli endpoint non ispezionano queste location.

Registry storage su Windows. Il caso più comune, replicato da almeno 25 delle 27 famiglie documentate, prevede lo stoccaggio di un payload codificato in una chiave di registro dall'aspetto innocuo. Per simularlo, genera un payload di test (un semplice "Hello World" in base64 va bene per il PoC) e scrivilo nel Registry:

powershell -c "$payload = [Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes('This is a test payload')); New-ItemProperty -Path 'HKCU:\Software\Microsoft' -Name 'UpdateCheck' -Value $payload -PropertyType String -Force"

Per la lettura e l'esecuzione simulata:

powershell -c "$enc = (Get-ItemProperty -Path 'HKCU:\Software\Microsoft').UpdateCheck; [System.Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($enc))"

Questo replica fedelmente il pattern di QakBot, che archivia configurazioni sotto HKCU\Software\Microsoft con nomi di sottochiave casuali, e di Valak, che usa HKCU\Software\ApplicationContainer\Appsw64 per i parametri C2.

WMI repository. Una tecnica più avanzata sfrutta le classi WMI custom per nascondere dati:

powershell -c "$class = New-Object System.Management.ManagementClass('root\cimv2', [string]::Empty, $null); $class['__CLASS'] = 'Win32_Debug'; $class.Qualifiers.Add('Static', $true); $class.Properties.Add('Config', 'EncodedPayloadHere'); $class.Put()"

Shared memory su Linux. Questo scenario replica il comportamento della campagna Quad7 Activity, che deposita artefatti nella directory /tmp dei dispositivi di rete compromessi. In laboratorio su una distribuzione Linux standard:

echo 'simulated_payload' | base64 > /dev/shm/.cache_update && chmod +x /dev/shm/.cache_update

Il file esiste solo in RAM e scompare al reboot. Per verificare cosa risiede in queste directory volatili: ls -la /dev/shm /run/shm 2>/dev/null.

Strumenti consigliati per un esercizio strutturato: Atomic Red Team (open source) contiene test atomici mappati esattamente su T1027.011 ed eseguibili con il modulo PowerShell Invoke-AtomicRedTeam (open source). Per il WMI storage, SharpWMI (open source) offre un'interfaccia C# comoda per la manipolazione di classi WMI da un contesto offensivo.

Durante il debrief, verifica con il blue team se gli alert sono scattati e su quale log source. Se la risposta è il silenzio, hai appena dimostrato il valore della tecnica.

La detection di fileless storage richiede un cambio di prospettiva: non stai cercando un file malevolo, ma un'anomalia in un contenitore che normalmente ospita dati di configurazione legittimi. Le due analytics documentate — AN0973 per Windows e AN0974 per Linux — forniscono la struttura, ma servono calibrazioni precise per renderle operative.

Windows: Registry e WMI. La log source primaria è Sysmon (gratuito, Microsoft Sysinternals). L'EventID 13 (Registry Value Set) cattura ogni modifica ai valori di registro, ma senza filtri genera milioni di eventi al giorno. La chiave del tuning è il parametro RegistryPathFilter indicato in AN0973: restringi il monitoraggio ai percorsi effettivamente abusati dalle famiglie malware documentate. I path prioritari includono:

• HKCU\Software\Microsoft\* — usato da QakBot, Mosquito, QUADAGENT
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\* — usato da TYPEFRAME, Sibot, Pillowmint
• HKLM\SOFTWARE\Microsoft\Print\* — usato da PipeMon
• HKLM\SOFTWARE\Classes\.wav\* — usato da Uroburos
• HKLM\SYSTEM\CurrentControlSet\Control\WMI\Security — usato da Volgmer

Per ridurre i falsi positivi, combina il filtro sul path con il parametro PayloadEntropyThreshold: valori di registro con entropia superiore a 6.0 (su scala 0-8) sono statisticamente sospetti, perché suggeriscono contenuto cifrato o codificato in base64. Tool come freq.py di Mark Baggett (open source) o il modulo di calcolo entropia di CyberChef (open source, GCHQ) permettono di integrare questo controllo.

Per il monitoraggio WMI, l'EventID 5861 del canale Microsoft-Windows-WMI-Activity/Operational segnala la creazione di nuove classi WMI — evento raro in ambienti di produzione e quindi ad alta fedeltà.

Il parametro TimeWindow di AN0973 è cruciale: correla le modifiche di registro con la creazione di processi (Sysmon EventID 1) e connessioni di rete (Sysmon EventID 3) entro una finestra di 30-120 secondi. Se un processo scrive un blob base64 nel Registry e poi stabilisce una connessione outbound, la probabilità che sia legittimo crolla drasticamente.

Linux: directory di memoria condivisa. AN0974 si basa su auditd (preinstallato nella maggior parte delle distribuzioni) e osquery (open source). Configura una regola auditd per intercettare scritture ed esecuzioni nelle directory volatili:

-w /dev/shm/ -p wxa -k fileless_shm

Il parametro FilenameRegex dell'analytic aiuta a distinguere file legittimi (come quelli di POSIX IPC usati da applicazioni note) da nomi sospetti — stringhe casuali, file con doppia estensione, o nomi che imitano processi di sistema. Con osquery, una query schedulata ogni 60 secondi sulla tabella file filtrata per path /dev/shm/% fornisce visibilità continua.

I falsi positivi più comuni? Applicazioni che usano shared memory per IPC (Chrome, database in-memory) e tool di orchestrazione che scrivono file temporanei nel Registry durante gli aggiornamenti. Un periodo di baselining di 2-3 settimane in ambiente di produzione è essenziale prima di passare gli alert in modalità attiva.

L'analisi forense del fileless storage è un esercizio di recupero indiretto: i dati malevoli per definizione non risiedono in file convenzionali, ma lasciano tracce nei metadati, nei log di sistema e nella struttura fisica dei contenitori che li ospitano.

Registry forensics su Windows. Il punto di partenza sono gli hive file fisici — %SystemRoot%\System32\Config\SOFTWARE, SYSTEM, e l'hive utente NTUSER.DAT. Strumenti come RegRipper (open source) e Registry Explorer di Eric Zimmerman (gratuito) consentono di navigare gli hive offline e di estrarre i timestamp LastWriteTime di ogni chiave. Questo timestamp è fondamentale per la timeline: se la chiave HKCU\Software\ApplicationContainer\Appsw64 (pattern di Valak) mostra un LastWriteTime coerente con il periodo di compromissione, hai un pivot temporale solido.

Per i payload cifrati archiviati nel Registry — tecnica usata da Turla, ComRAT, ShadowPad, ThreatNeedle e molte altre famiglie — estrai il valore binario e calcolane l'entropia. Un valore sopra 7.5 indica quasi certamente cifratura. Il tool yara (open source) può essere configurato con regole personalizzate per scansionare gli hive alla ricerca di pattern noti, come header RC4 o strutture JSON codificate (pattern di PolyglotDuke ed Exaramel for Windows).

Non trascurare i transaction log del Registry (file .LOG1 e .LOG2 nella stessa directory degli hive). Questi contengono le scritture non ancora committate e possono rivelare valori che l'attaccante ha scritto e poi cancellato. Lo stesso principio si applica alla campagna Operation CuckooBees, dove i payload venivano archiviati nei transaction log del CLFS (Common Log File System) — i file .blf e i container .tmp associati rappresentano artefatti forensi di alto valore.

WMI forensics. Il repository WMI risiede in %SystemRoot%\System32\Wbem\Repository e contiene i file OBJECTS.DATA, INDEX.BTR e MAPPING*.MAP. Il tool PyWMIPersistenceFinder (open source) analizza OBJECTS.DATA alla ricerca di classi custom e subscription sospette. Qualsiasi classe non appartenente ai namespace standard di Windows merita investigazione approfondita.

Linux: artefatti volatili. Per la campagna Quad7 Activity, gli artefatti nella directory /tmp dei dispositivi di rete scompaiono al reboot. Se il dispositivo è ancora acceso, un'acquisizione live con find /dev/shm /run/shm /tmp -type f -exec file {} ; -exec sha256sum {} ; cattura tipo e hash di ogni file presente. Per analisi post-mortem, una memory capture con LiME (open source) può rivelare contenuti di directory tmpfs ancora residenti in RAM.

Nella ricostruzione della timeline, correla i timestamp delle modifiche Registry/WMI con i log di Security.evtx (EventID 4688 per la creazione processi) e i log Sysmon. La sequenza tipica è: esecuzione del dropper → scrittura nel Registry → lettura del payload → connessione C2. Ogni passaggio lascia una traccia in una log source diversa, e la coerenza temporale è la prova che lega insieme i frammenti.

Il panorama degli attori che adottano fileless storage rivela un pattern chiaro: questa tecnica non è esclusiva dei gruppi top-tier, ma è diventata uno standard operativo trasversale, adottato sia da APT sofisticati sia da malware commodity distribuito su larga scala.

APT32 (noto anche come OceanLotus) è un gruppo con focus sul Sud-Est asiatico che ha integrato il Registry storage nella propria backdoor principale, archiviandovi la configurazione operativa. Questo approccio si allinea con la tradizione di APT32 di privilegiare la stealth rispetto alla complessità tecnica: il Registry è un contenitore onnipresente su Windows, e una chiave di configurazione in più non attira l'attenzione.

Turla, attore ben più longevo e tecnicamente sofisticato, porta il concetto un passo oltre: nel Registry non archivia solo configurazioni, ma payload cifrati e codificati completi. L'ecosistema software di Turla riflette questa filosofia — ComRAT vi conserva codice orchestratore e payload, Uroburos (la componente kernel-level) nasconde configurazioni in location inusuali come HKLM:\SOFTWARE\Classes\.wav\OpenWithProgIds, e TinyTurla salva i propri parametri operativi nello stesso contenitore. Anche Mosquito, PolyglotDuke e RegDuke condividono questo pattern, disegnando un ecosistema coerente dove il Registry è il tessuto connettivo tra i diversi moduli. Il messaggio per l'analista TI è chiaro: se identifichi un componente Turla, cerca immediatamente anomalie nel Registry — probabilmente troverai gli altri.

Sul fronte delle campagne, Operation CuckooBees (C0012, attiva dal 2019 al 2022) ha introdotto una variante particolarmente insidiosa: lo stoccaggio di payload nei transaction log del CLFS di Windows, un formato che pochi strumenti forensi analizzano di routine. La campagna, attribuita a operatori affiliati a Winnti Group, ha preso di mira settori tecnologici e manifatturieri tra Asia orientale, Europa occidentale e Nord America con finalità di spionaggio industriale.

Quad7 Activity (C0055, dal 2023 al 2025) rappresenta invece il fileless storage applicato al mondo IoT/SOHO: la botnet, composta da router TP-Link e Asus compromessi, archivia artefatti nella directory /tmp — volatile per design su questi dispositivi. L'infrastruttura è stata utilizzata da attori affiliati alla Cina per operazioni di password-spraying contro organizzazioni governative, ONG, studi legali e aziende energetiche in Nord America e Europa.

Il trend evolutivo è significativo. Il fileless storage si sta spostando dai target tradizionali Windows verso dispositivi di rete e ambienti embedded, dove le capacità di ispezione sono minime. Per il CTI team, questo implica l'estensione del monitoraggio IOC a location non convenzionali: non solo chiavi di registro su endpoint Windows, ma directory volatili su appliance di rete e dispositivi SOHO che compongono il perimetro esteso dell'organizzazione. Il volume di 27 famiglie malware che adottano questa tecnica conferma che non si tratta di un indicatore di sofisticazione, ma di una pratica operativa mainstream che qualsiasi attore — dal ransomware operator al gruppo nation-state — può integrare nel proprio toolkit.

Framework MITRE ATT&CK v16 — T1027.011 Fileless Storage, TA0005 Defense Evasion. Campagne: C0055 (Quad7 Activity), C0012 (Operation CuckooBees). Detection: Sysmon, auditd, osquery. Analisi forense: RegRipper, Registry Explorer, PyWMIPersistenceFinder, LiME, YARA, CyberChef. Integrato con conoscenza professionale per tool e procedure operative.