Junk Code: Obfuscated Code Execution/Junk Code Insertion (T1027.016)

Per comprendere l'efficacia del junk code, iniziamo creando un semplice payload Python che dimostra il concetto. Il seguente script inserisce blocchi di codice inutile tra le funzioni legittime:

import random
import string

def real_function():
    print("Funzione reale eseguita")
    
def junk_generator():
    for i in range(1000):
        dummy = ''.join(random.choices(string.ascii_letters, k=50))
        useless_calc = i * random.randint(1, 100) / random.randint(1, 50)
        
real_function()

Per un esempio più avanzato in assembly x86, possiamo creare un binario con padding NOP massiccio. Utilizzando NASM su Linux:

section .text
global _start

_start:
    ; Codice reale
    mov eax, 1
    
    ; Inserimento di 1000 NOP
    times 1000 nop
    
    ; Altro codice reale
    mov ebx, 0
    int 0x80

Compiliamo con: nasm -f elf32 junk.asm && ld -m elf_i386 junk.o -o junk

FIN7 utilizza generatori automatici di junk code nei loro strumenti. Per replicare questo approccio, possiamo modificare un eseguibile esistente inserendo byte casuali tra le sezioni legittime. Su Windows, utilizzando PowerShell:

$bytes = [System.IO.File]::ReadAllBytes("legitimate.exe")
$junk = 1..10000 | ForEach {Get-Random -Maximum 255}
$newBytes = $bytes[0..1000] + $junk + $bytes[1001..$bytes.Length]
[System.IO.File]::WriteAllBytes("obfuscated.exe", $newBytes)

Gli strumenti di Kimsuky concatenano stringhe in modo creativo per offuscare il codice. Questa tecnica può essere replicata in JavaScript:

var r = "rea"; var e = "l_"; var a = "func"; 
var l = "tion";
eval(r + e + a + l + "()");

Per testare l'efficacia contro i sistemi di analisi automatica, Mustang Panda inserisce loop infiniti che vengono saltati condizionalmente. In C:

if (0) {
    while(1) { 
        // Loop infinito mai eseguito
        int x = rand() * rand();
    }
}
// Codice malevolo reale qui

La detection del junk code richiede un approccio comportamentale piuttosto che basato su firme. La strategia DET0322 fornisce indicazioni precise per identificare eseguibili con padding anomalo.

Su sistemi Windows, configura Sysmon per monitorare la creazione di processi (EventID 1) e analizza le dimensioni dei file eseguibili. Un file di pochi KB di codice reale che occupa diversi MB su disco è un forte indicatore:

<RuleGroup name="JunkCodeDetection">
    <ProcessCreate onmatch="include">
        <Rule groupRelation="and">
            <Image condition="end with">.exe</Image>
            <FileVersion condition="is">Unknown</FileVersion>
        </Rule>
    </ProcessCreate>
</RuleGroup>

L'analisi dell'entropia dei file è fondamentale. Configura il tuo EDR per flaggare eseguibili con sezioni a bassa entropia (indicative di padding NOP) seguite da sezioni ad alta entropia (codice offuscato). WastedLocker utilizza proprio questa tecnica per evadere i controlli.

Su Linux, monitora con auditd le syscall execve precedute da scritture di file anomale:

-a always,exit -F arch=b64 -S execve -F key=suspicious_exec
-a always,exit -F arch=b64 -S write -F success=1 -F key=file_write

Correla questi eventi quando il file scritto supera soglie dimensionali specifiche per la sua categoria. ZeroT inserisce chiamate API dummy tra istruzioni reali, quindi monitora anche sequenze di API call ripetitive senza effetto:

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Sysmon/Operational'; ID=1} |
Where-Object {$_.Message -match "ImageLoaded:.*kernel32.dll" -and 
              $_.Message -match "GetTickCount|Sleep|GetCurrentThread" }

I falsi positivi sono comuni con installer legittime e software di protezione. Crea whitelist basate su certificati digitali validi e percorsi di installazione standard. Gelsemium sfrutta proprio questa debolezza nascondendo funzioni malevole tra codice apparentemente benigno.

Durante l'analisi forense, il junk code lascia tracce distintive nel filesystem e in memoria. Inizia identificando anomalie dimensionali nei file eseguibili creati durante il periodo sospetto.

Su Windows, analizza il Master File Table (MFT) per identificare eseguibili con rapporti dimensione/timestamp anomali:

Get-ChildItem -Path C:\ -Include *.exe,*.dll -Recurse -ErrorAction SilentlyContinue |
Where-Object {$_.Length -gt 5MB -and $_.CreationTime -gt (Get-Date).AddDays(-7)} |
Select-Object FullName, Length, CreationTime

POWERSTATS utilizza blocchi di codice inutile che possono essere identificati attraverso l'analisi delle stringhe. Estrai le stringhe dagli eseguibili sospetti e cerca pattern ripetitivi:

strings -n 20 suspicious.exe | sort | uniq -c | sort -rn

Gli artefatti di prefetch su Windows rivelano esecuzioni anomale. File con junk code tendono ad avere tempi di caricamento più lunghi, visibili nei file .pf. SamSam padding i suoi componenti, risultando in trace di prefetch anomale con hash section fuori standard.

In memoria, il junk code crea pattern distintivi. Utilizza Volatility per identificare processi con regioni di memoria contenenti lunghe sequenze di NOP:

volatility -f memory.raw --profile=Win10x64 malfind | grep -A5 "909090"

XTunnel nella versione del luglio 2015 inseriva junk code specificamente per confondere i prodotti di sicurezza. L'analisi della timeline mostra tipicamente:

1. Scrittura iniziale del file offuscato
2. Esecuzione con latenza anomala
3. Allocazione di memoria sproporzionata
4. Eventual injection in processi legittimi

Su Linux, analizza i file in /proc/[pid]/maps per processi con mappature di memoria insolitamente grandi rispetto alla dimensione del binario su disco. FinFisher utilizza questa discrepanza per nascondere il suo codice reale.

FIN7 rappresenta il caso d'uso più sofisticato del junk code. Il gruppo inserisce codice casuale nei loro strumenti finanziari malevoli, cambiando i pattern ad ogni campagna. La loro evoluzione mostra un trend verso l'automazione della generazione di padding, suggerendo investimenti in toolchain dedicate.

Gamaredon Group si focalizza su eseguibili .NET, sfruttando le caratteristiche del framework per inserire metodi mai chiamati. I loro target ucraini ricevono varianti con padding culturalmente specifico - commenti in cirillico e riferimenti locali nel codice morto. Questo indica operatori con conoscenza del contesto target.

APT32 adotta un approccio minimalista ma efficace. Il loro garbage code mira specificamente a confondere i ricercatori umani piuttosto che i sistemi automatici. Inseriscono funzioni con nomi ingannevoli come "CheckWindowsDefender" che in realtà non fanno nulla, indicando familiarità con i processi di reverse engineering.

Kimsuky mostra la maggiore creatività nell'uso del junk code. Concatenano stringhe e utilizzano operazioni matematiche complesse ma inutili. La loro preferenza per PowerShell e script significa che il padding viene generato dinamicamente, rendendo ogni esecuzione unica. Pattern geografico: vittime sudcoreane e giapponesi.

Mustang Panda utilizza DLL con junk code per operazioni di cyber-espionage. La loro implementazione suggerisce l'uso di template standardizzati - stesso tipo di padding attraverso campagne diverse. Focus su organizzazioni governative nel Sud-Est asiatico con payload dimensionati specificamente per evadere gateway email.

L'overlap negli strumenti è significativo: Maze e WastedLocker condividono tecniche di padding simili, suggerendo possibili connessioni o condivisione di codice nel cybercrime ecosystem. Entrambi inseriscono blocchi di junk code prima delle routine di cifratura.

Framework MITRE ATT&CK T1027.016. Documentazione estensiva su FIN7, Gamaredon Group, APT32, Kimsuky, Mustang Panda. Analisi tecnica di XTunnel (2015), CORESHELL, FinFisher, POWERSTATS, ZeroT, yty, SamSam, Maze, Pony, Goopy, FatDuke, WastedLocker, Gelsemium, StrelaStealer. Detection strategy DET0322 per Windows, Linux, macOS.