Immagini Malevole: Malicious Image (T1204.003)

La simulazione di T1204.003 in laboratorio richiede un registry privato e un cluster container isolato. L'obiettivo è dimostrare al cliente quanto sia semplice eseguire codice arbitrario attraverso un'immagine apparentemente innocua.

Il primo passo è costruire un'immagine Docker con un payload embedded. Parti da un Dockerfile minimale che usi un'immagine base legittima e aggiunga un entrypoint malevolo. In un contesto di red team, il payload può essere un semplice reverse shell o un simulatore di cryptominer:

docker build -t internal-registry.lab/nginx-app:latest -f Dockerfile.backdoor .

L'immagine va poi pubblicata sul registry del laboratorio. In ambiente reale, gli attaccanti usano Docker Hub o registri cloud pubblici; in laboratorio, un registry locale è sufficiente:

docker push internal-registry.lab/nginx-app:latest

Il Dockerfile di test può essere estremamente semplice: un'immagine alpine che al primo avvio scarica ed esegue uno script. All'interno dell'entrypoint, inserisci comandi come wget verso un server C2 controllato, oppure avvia un processo che simula mining con output su stdout. Il nome dell'immagine deve imitare un componente legittimo — qui entra in gioco il typosquatting sui nomi delle immagini: nginx-app, redis-cache, node-api sono tutti nomi plausibili.

Per il versante IaaS, la simulazione su AWS prevede la creazione di un'AMI custom con un servizio systemd malevolo che si attiva al boot. Usa Packer (open source) di HashiCorp per automatizzare la build:

packer build -var 'region=eu-west-1' malicious-ami.pkr.hcl

Una volta che l'AMI è disponibile, lancia un'istanza EC2 e verifica che il payload si attivi automaticamente al primo boot tramite cloud-init o user-data. Strumenti come Stratus Red Team (open source) di DataDog permettono di simulare scenari offensivi su AWS, GCP e Azure con tecniche mappate direttamente sulle TTP.

Sul fronte Kubernetes, puoi deployare l'immagine malevola con un manifest YAML standard e osservare l'esecuzione tramite i log del kubelet. Per il rilevamento, usa Falco (open source) della CNCF, che intercetta le syscall anomale all'interno dei container e genera alert in tempo reale. Configurare Falco prima della simulazione permette di validare contestualmente le regole di detection.

Un aspetto spesso trascurato: verifica anche che Docker Content Trust (integrato in Docker) blocchi effettivamente il pull di immagini non firmate impostando la variabile d'ambiente DOCKER_CONTENT_TRUST=1. Questo è il controllo che un'organizzazione dovrebbe avere attivo e che il tuo test deve provare a bypassare o validare.

La detection di T1204.003 si basa su una correlazione temporale ben definita: image pull → container/instance start → comportamento anomalo post-avvio. Non esiste un singolo evento che segnali l'attacco; è la sequenza che racconta la storia.

Per l'ambiente container (Linux), le log source critiche sono gli eventi di containerd, gli audit log di Kubernetes e i flussi di rete (NSM flow). L'analitica AN0691 descrive esattamente il pattern: un'immagine viene scaricata da un registry non approvato, un container viene creato e avviato, e nel giro di pochi minuti compaiono processi sospetti come curl, wget, bash, nc o connessioni outbound verso CIDR non autorizzati. La finestra di correlazione raccomandata è di ≤15 minuti dal pull all'attività anomala.

I parametri di tuning fondamentali sono:

• ImageRegistryAllowList: la lista dei registry approvati (ECR, GCR, ACR dell'organizzazione). Qualsiasi pull da registry esterni genera un alert.
• SuspiciousBinaries: binari ad alto rischio quando eseguiti in container applicativi — bash, sh, curl, wget, nc, python.
• NamespaceScope: namespace Kubernetes che non dovrebbero mai fare pull da Internet o usare tag mutabili come latest.
• OutboundCIDRBlockList: reti di destinazione vietate per i container, tipicamente pool di mining noti.

Per l'ambiente IaaS (Windows e cloud), l'analitica AN0692 si concentra sulle istanze VM. I log di AWS CloudTrail, Azure Activity Log e Sysmon (su Windows) sono le fonti primarie. Il pattern è analogo: un'istanza viene lanciata da un'immagine non presente nel catalogo approvato (ApprovedImageCatalog), e durante il first-boot (finestra ≤30 minuti) il cloud-init o user-data esegue download o comandi sospetti.

Un controllo particolarmente efficace consiste nell'ispezionare il contenuto del campo userData nelle API di lancio istanza: se contiene direttive exec, wget, curl o script encoded in base64, l'alert deve scattare immediatamente. Su AWS, questo è visibile nell'evento RunInstances di CloudTrail.

Per ridurre i falsi positivi, limita la detection agli ambienti production e alle subnet internet-facing tramite il parametro VMTagScope. Gli ambienti di sviluppo generano troppo rumore con immagini sperimentali e tag mutabili. Falco (open source) è il complemento ideale lato runtime: le sue regole predefinite intercettano shell spawn, network tool e modifiche a file sensibili all'interno dei container, trasformando il behavioral monitoring in alert azionabili.

L'indagine forense su un'immagine malevola parte da una domanda precisa: cosa conteneva l'immagine al momento del pull e cosa ha fatto il container (o la VM) nei primi minuti di vita?

Il primo artefatto da acquisire è l'immagine stessa. Con Docker, il comando docker save esporta l'immagine come tarball, preservando tutti i layer. Ogni layer è un filesystem diff che può essere ispezionato individualmente. Cerca file aggiunti rispetto all'immagine base: script in /entrypoint.d/, binari in /usr/local/bin/, crontab modificati o servizi systemd custom. Lo strumento Dive (open source) permette di esplorare visualmente i layer e identificare immediatamente le differenze rispetto all'immagine ufficiale.

docker save <image_id> -o evidence_image.tar

Per l'analisi statica delle vulnerabilità e dei componenti malevoli, Trivy (open source) di Aqua Security esegue una scansione completa dell'immagine alla ricerca di malware noto, secret embedded e misconfiguration:

trivy image --severity CRITICAL,HIGH <image_name>:

Grype (open source) di Anchore è un'alternativa valida per la vulnerability analysis dei pacchetti contenuti nell'immagine.

Passando alla timeline runtime, i log del container engine sono fondamentali. Su sistemi con containerd, i log degli eventi registrano creazione, avvio e terminazione dei container con timestamp precisi. Su Kubernetes, gli audit log del kube-apiserver documentano chi ha richiesto il deployment e da quale ServiceAccount. Se Falco era attivo, i suoi alert contengono la syscall esatta, il processo padre, il comando e gli argomenti — informazioni preziose per ricostruire la catena di esecuzione.

Per le istanze IaaS compromesse, acquisisci il contenuto di cloud-init o user-data tramite le API del cloud provider. Su AWS, il metadata service espone lo user-data dell'istanza, che spesso contiene il payload iniziale in chiaro o codificato in base64. Il log di CloudTrail mostra l'evento RunInstances con l'AMI ID utilizzata, l'account che ha eseguito il lancio e l'eventuale user-data specificato.

Sul filesystem della VM, concentrati sugli artefatti di primo boot: log di cloud-init in /var/log/cloud-init-output.log su Linux, script eseguiti da /var/lib/cloud/instance/scripts/, e log del servizio EC2Launch su Windows in C:\ProgramData\Amazon\EC2Launch\log\. Se l'immagine conteneva un cryptominer, cerca processi con alto consumo CPU nei log di sistema e connessioni a mining pool nelle catture di rete o nei log del firewall host.

La catena di custodia deve includere l'image digest (hash SHA256 immutabile) per garantire che l'immagine analizzata sia esattamente quella deployata.

Il panorama threat intelligence per T1204.003 è dominato da un solo attore documentato, ma il pattern operativo che rappresenta è significativo per comprendere un'intera categoria di minacce.

TeamTNT (G0139) è il gruppo che ha reso celebre l'abuso di immagini Docker malevole come vettore di esecuzione. Il loro modus operandi prevedeva la pubblicazione di immagini container su Docker Hub contenenti cryptominer e tool di lateral movement, contando sul fatto che sviluppatori e DevOps le scaricassero e deployassero senza verifiche. Il gruppo operava prevalentemente nel segmento cryptojacking, puntando a cluster Kubernetes esposti e daemon Docker accessibili su Internet.

Il profilo di TeamTNT è quello di un attore finanziariamente motivato con competenze specifiche sull'ecosistema cloud-native. La loro catena d'attacco tipica partiva dalla discovery di API Docker non autenticate o dashboard Kubernetes esposte, proseguiva con il deployment di immagini malevole e culminava con l'installazione di miner XMRig e worm per la propagazione laterale verso altri host Docker raggiungibili in rete.

Dal punto di vista dell'analisi dei pattern, la tecnica T1204.003 ha caratteristiche che la rendono particolarmente attraente per attori a basso costo operativo. Non richiede exploit zero-day, non necessita di infrastruttura C2 complessa nella fase iniziale — il registry pubblico funge da vettore di distribuzione gratuito — e scala naturalmente: una singola immagine malevola può essere deployata da centinaia di vittime indipendenti.

Le 4 mitigazioni documentate delineano la strategia difensiva. Il Code Signing (M1045), implementato tramite Docker Content Trust o Sigstore cosign, rappresenta il controllo tecnico più efficace perché impedisce l'esecuzione di immagini non firmate. La Network Intrusion Prevention (M1031) intercetta il traffico anomalo generato post-deployment. Lo User Training (M1017) affronta il fattore umano — operatori che fanno pull senza verificare provenienza e firma. L'Audit (M1047) chiude il cerchio con la revisione periodica delle immagini deployate nell'ambiente.

Per il threat intelligence operativo, monitora i registry pubblici alla ricerca di immagini con nomi simili ai componenti interni dell'organizzazione. Strumenti come Dockle (open source) per l'audit delle best practice sulle immagini e policy engine come OPA Gatekeeper (open source) su Kubernetes per bloccare il deployment da registry non approvati sono investimenti preventivi ad alto rendimento. La convergenza tra supply chain container e attori finanziariamente motivati suggerisce che questa tecnica continuerà a essere sfruttata, con possibile adozione da parte di gruppi APT statali interessati a compromettere pipeline CI/CD.

Framework MITRE ATT&CK v16 — T1204.003 (Malicious Image), TA0002 (Execution), G0139 (TeamTNT), M1045, M1031, M1017, M1047. Tool di detection e analisi: Falco, Trivy, Grype, Dive, Dockle, OPA Gatekeeper, Stratus Red Team, Packer. Integrato con conoscenza professionale per tool e procedure operative.