Iniezione di Eseguibili Portabili: Process Injection via Portable Executable (T1055.002)

Per replicare l'iniezione PE in laboratorio, inizia identificando il processo target tramite tasklist o ps aux. Il processo classico su Windows utilizza tre API native in sequenza.

Prima apri un handle al processo target con privilegi sufficienti: OpenProcess(PROCESS_ALL_ACCESS, FALSE, targetPID)

Alloca memoria nel processo remoto per ospitare il tuo payload: VirtualAllocEx(hProcess, NULL, payloadSize, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE)

Scrivi il PE o lo shellcode nello spazio allocato. Qui la complessità aumenta perché devi gestire il remapping delle referenze di memoria. Il payload deve essere position-independent o includere un loader che gestisca le rilocazioni: WriteProcessMemory(hProcess, remoteBuffer, payload, payloadSize, NULL)

Infine, crea un thread remoto che esegua il codice iniettato: CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)remoteBuffer, NULL, 0, NULL)

Tool come Brute Ratel C4 automatizzano questo processo. La sua capacità di iniettare Latrodectus in Explorer.exe dimostra l'efficacia contro processi di sistema critici. Havoc utilizza un approccio simile iniettandosi in C:\Windows\System32\Werfault.exe, sfruttando la legittimità del Windows Error Reporting.

Per testing avanzato, considera Zeus Panda che analizza i processi prima dell'iniezione, selezionando target che soddisfano requisiti specifici di sicurezza e privilegi. Questo approccio riduce il rischio di crash e aumenta le possibilità di successo.

Il detection efficace richiede il monitoraggio della sequenza comportamentale completa, non dei singoli eventi. Sysmon fornisce la visibilità necessaria attraverso eventi specifici che tracciano l'intera catena di iniezione.

Configura alert per la sequenza: processo A apre handle verso processo B (EventID 10), seguito da allocazione remota di memoria e scrittura. Il tempo tra questi eventi è critico - imposta una finestra temporale di 5-10 secondi per catturare iniezioni legittime evitando falsi positivi da operazioni asincrone.

Monitora specificamente processi ad alto valore come lsass.exe, winlogon.exe e services.exe. L'iniezione in questi processi è quasi sempre malevola. Rocke ha dimostrato questa tattica iniettando il suo miner in Notepad.exe, un processo apparentemente innocuo ma con accesso di rete.

L'entropia del payload scritto in memoria fornisce un indicatore aggiuntivo. Shellcode e PE cifrati mostrano alta entropia (sopra 7.5). Combina questa metrica con l'analisi delle API sequence per ridurre i falsi positivi da software legittimo che usa tecniche simili.

Implementa whitelist basate su parent-child process relationships. Software di sicurezza e alcuni driver legittimi usano iniezione, ma seguono pattern prevedibili. Documenta questi pattern durante il baseline iniziale per affinare la detection.

L'analisi forense di PE injection richiede l'esame di artefatti sia volatili che persistenti. In memoria, cerca tracce di codice iniettato analizzando VAD (Virtual Address Descriptors) anomali nei processi compromessi.

Volatility Framework permette di identificare memory regions con permessi RWX sospetti: python vol.py -f memory.dmp windows.vadinfo --pid [targetPID]

Cerca discrepanze tra il PE originale su disco e le sezioni caricate in memoria. InvisiMole lascia tracce distintive quando inietta il suo backdoor, incluse stringhe decodificate solo in memoria che non esistono nel binario originale.

La timeline reconstruction beneficia dell'analisi dei Prefetch files. Anche se l'esecuzione avviene in memoria, il processo iniziale che lancia l'iniezione lascia tracce. Correla timestamp di Prefetch con eventi Sysmon per identificare il vettore iniziale.

GreyEnergy utilizza un modulo dedicato per l'iniezione che lascia pattern specifici. Cerca handle aperti anomali tra processi tramite handle table analysis. Tool come Rekall possono enumerare tutti gli handle e identificare relazioni sospette.

Durante la 3CX Supply Chain Attack, gli attaccanti hanno utilizzato SigFlip per mantenere firme digitali valide durante l'iniezione. Questo richiede analisi approfondita delle Authenticode signatures per identificare manipolazioni sottili che bypass standard verification.

Gorgon Group rappresenta un attore particolarmente interessante per l'uso strategico di PE injection. Il gruppo scarica ShiftyBug come RAT secondario e lo inietta per mantenere persistenza stealth. Questo pattern suggerisce operazioni a lungo termine con focus su spionaggio piuttosto che ransomware.

La sovrapposizione di tool tra gruppi rivela trend interessanti. Carbanak scarica e inietta payload direttamente, evitando completamente il filesystem. Questa tattica, adottata anche da DUSTPAN e Lizar, indica una maturazione delle tecniche di evasione tra gruppi criminali.

Pikabot mostra evoluzione tattica con hard-coded target processes come WerFault.exe. Questa scelta non è casuale - WerFault ha privilegi elevati e connettività di rete per error reporting, rendendolo ideale per C2 communication mascherata.

La campagna 3CX dimostra l'uso di PE injection in supply chain attacks sofisticati. L'integrazione con tool come AppleJeus e il targeting specifico di settori defense e cryptocurrency suggerisce attori state-sponsored con obiettivi economici e di intelligence.

Pattern geografici emergono dall'analisi dei target. Gruppi che usano PE injection tendono a focalizzarsi su organizzazioni con elevata security posture, dove tecniche tradizionali fallirebbero. Monitora l'adozione di questa tecnica come indicatore di escalation nelle capacità avversarie.

Framework MITRE ATT&CK documenta PE Injection sotto T1055.002 con dettagli su gruppi APT e software associati. La campagna 3CX Supply Chain Attack fornisce case study recenti sull'uso avanzato della tecnica in contesti di supply chain compromise.