Manipolazione Dati in Runtime: Runtime Data Manipulation (T1565.003)

Per replicare questa tecnica in laboratorio, iniziamo con la modifica di un binario applicativo Windows. Il metodo più diretto prevede l'alterazione di una DLL caricata dall'applicazione target:

copy C:\Program Files\TargetApp\display.dll C:\temp\display_backup.dll

Utilizzando un hex editor o tool specializzati, possiamo modificare le funzioni di rendering dei dati. Un approccio alternativo sfrutta l'API hooking tramite SetWindowsHookEx per intercettare e modificare i dati prima della visualizzazione.

Su Linux, la manipolazione avviene spesso attraverso la modifica di librerie condivise. Possiamo utilizzare LD_PRELOAD per caricare una libreria modificata:

export LD_PRELOAD=/tmp/malicious_lib.so ./target_application

La libreria modificata intercetta le chiamate alle funzioni di visualizzazione originali e altera i dati prima del rendering. Per sistemi più complessi, potremmo dover analizzare il flusso dati dell'applicazione usando strace o ltrace per identificare i punti di manipolazione ottimali.

APT38 ha dimostrato l'efficacia di questa tecnica con DYEPACK.FOX, modificando la visualizzazione dei PDF per nascondere transazioni SWIFT fraudolente. Il malware alterava i dati PDF in memoria mentre venivano processati dal viewer, mostrando documenti "puliti" agli operatori bancari mentre le transazioni malevole procedevano.

Per replicare un attacco simile in ambiente controllato, potremmo sviluppare un proof-of-concept che modifica il rendering di documenti PDF intercettando le API di Adobe Reader o altri viewer comuni.

La detection di manipolazioni runtime richiede un approccio multi-livello che monitora sia le modifiche ai file binari che i comportamenti anomali durante l'esecuzione. Su Windows, Sysmon fornisce visibilità critica attraverso gli eventi di processo e modifica file.

Configurate Sysmon per generare alert quando vengono modificati binari in directory business-critical. L'EventCode 2 di Sysmon cattura le modifiche ai tempi di creazione dei file, mentre l'EventCode 11 monitora la creazione di nuovi file che potrebbero essere binari alterati:

<FileCreate onmatch="include"> <TargetFilename condition="contains">C:\CriticalApps</TargetFilename> </FileCreate>

La correlazione diventa fondamentale: cercate pattern dove modifiche ai binari sono seguite da processi che caricano DLL non firmate o con hash sconosciuti. Il Security Event Log di Windows può rivelare tentativi di modifica permessi su file critici attraverso l'EventCode 4663.

Su Linux, auditd monitora le syscall per identificare scritture sospette. Una regola efficace monitora modifiche a binari ELF e librerie condivise:

-w /usr/lib -p wa -k lib_changes -w /usr/local/bin -p wa -k bin_changes

L'analisi comportamentale deve includere il monitoraggio di processi che improvvisamente mostrano dati diversi da quelli nel database sottostante. Implementate baseline di hash per tutti i binari critici e generate alert quando vengono rilevate discrepanze.

Durante l'analisi forense di manipolazioni runtime, la ricostruzione temporale richiede particolare attenzione ai timestamp dei file e alle modifiche dei binari. Su Windows, esaminate il MFT (Master File Table) per identificare quando i file sono stati alterati, prestando attenzione ai timestamp $STANDARD_INFORMATION vs $FILE_NAME che possono rivelare timestomping.

Gli artefatti chiave includono le voci di Prefetch che mostrano quando i binari modificati sono stati eseguiti per la prima volta. La directory C:\Windows\Prefetch contiene evidenze dell'esecuzione con hash del percorso che cambiano quando il binario viene modificato.

Il registro di Windows preserva tracce attraverso le chiavi UserAssist e RecentDocs. Cercate anomalie nelle associazioni file in HKEY_CLASSES_ROOT che potrebbero indicare manipolazioni per reindirizzare l'apertura di certi tipi di file verso binari compromessi.

Su sistemi Linux, /var/log/audit/audit.log registra le syscall che modificano file eseguibili. La timeline reconstruction beneficia dall'analisi di:

• Modifiche ai binari in /usr/bin e /usr/local/bin
• Alterazioni alle librerie in /lib e /usr/lib
• Cambiamenti negli script di avvio che potrebbero caricare librerie alterate

Il caso APT38 con DYEPACK.FOX mostra pattern forensi distintivi: modifiche ai viewer PDF seguite da accessi a file contenenti dati SWIFT. La manipolazione lasciava tracce minime su disco poiché avveniva principalmente in memoria, richiedendo analisi della RAM per identificare hook e patch runtime.

APT38 rappresenta l'unico gruppo documentato nell'uso pubblico di questa tecnica, evidenziando la specializzazione richiesta. Il gruppo, collegato alla Corea del Nord, ha dimostrato capacità avanzate nel targeting di istituzioni finanziarie attraverso manipolazioni sofisticate dei sistemi SWIFT.

L'uso di DYEPACK.FOX per alterare la visualizzazione dei PDF bancari indica una profonda comprensione dei processi operativi delle vittime. Il malware modificava specificamente i dati delle transazioni SWIFT mentre venivano visualizzati, permettendo trasferimenti fraudolenti mentre gli operatori vedevano documenti apparentemente normali.

Pattern geografici mostrano focus su istituzioni finanziarie in Asia e America Latina, con particolare interesse per banche che processano transazioni SWIFT. La scelta di manipolare dati runtime invece di modificarli permanentemente suggerisce obiettivi di stealth e persistenza a lungo termine.

L'assenza di altri gruppi documentati usando questa tecnica potrebbe indicare:

• Barriera tecnica elevata che richiede R&D significativo
• Necessità di intelligence dettagliata sui processi interni delle vittime
• Preferenza per tecniche alternative meno complesse ma ugualmente efficaci

La progressione naturale per gruppi che padroneggiano questa tecnica include l'espansione verso altri sistemi critici come piattaforme di trading, sistemi ERP o ambienti industriali dove la manipolazione dei dati visualizzati può causare decisioni operative errate con conseguenze fisiche.

Analisi basata su framework MITRE ATT&CK per tecnica T1565.003. Caso studio APT38 e DYEPACK.FOX documentato in report di sicurezza finanziaria. Strategie di detection derivate da implementazioni Sysmon, auditd e osquery in ambienti enterprise.