Bypass del Mark-of-the-Web: Mark-of-the-Web Bypass (T1553.005)

Il cuore di questa tecnica è semplice: confezionare un payload all'interno di un contenitore che l'utente aprirà con un doppio click, facendo sì che i file interni sfuggano al MOTW. Per replicarla in laboratorio servono due passaggi distinti: la creazione del contenitore e la verifica che il MOTW non venga ereditato.

Scenario ISO con payload .lnk — Questa è la catena più utilizzata in the wild. Su una macchina Linux si può creare un'immagine ISO contenente un file .lnk malevolo e un eseguibile, utilizzando il tool mkisofs (open source), parte del pacchetto cdrtools:

mkisofs -o payload.iso -J -R ./staging/

La directory staging conterrà il .lnk (che punta all'eseguibile nella stessa root ISO) e il payload vero e proprio. Una volta che la vittima monta l'ISO su Windows, il contenuto appare come un disco locale e il .lnk si esegue senza intervento di SmartScreen.

Scenario VHD con disco virtuale — Per creare un VHD si può usare direttamente diskpart su Windows, utile per dimostrare che non servono tool esotici:

diskpart create vdisk file=C:\temp\test.vhd maximum=100 type=fixed select vdisk file=C:\temp\test.vhd attach vdisk create partition primary format fs=fat32 quick assign letter=Z

Dopo aver copiato il payload nella partizione Z:, si smonta il disco e si distribuisce il file .vhd. FAT32 è una scelta deliberata: non supportando ADS, garantisce che nessun MOTW venga applicato al contenuto.

Verifica dell'assenza del MOTW — Per confermare che il bypass funzioni, si usa il tool Streams di Sysinternals (gratuito):

*streams.exe -s Z:*

Se non compare alcun Zone.Identifier, il bypass è riuscito. In alternativa, da PowerShell:

Get-Content -Path "Z:\payload.exe" -Stream Zone.Identifier

Un errore di tipo "stream non trovato" conferma l'assenza del MOTW.

Scenario Amadey-style: azzeramento diretto — Per replicare la tecnica di manipolazione diretta dell'ADS (come documentato per il malware Amadey), si può sovrascrivere il valore del Zone.Identifier da PowerShell:

Set-Content -Path "C:\Users\test\Downloads\file.exe" -Stream Zone.Identifier -Value "[ZoneTransfer]`nZoneId=0"

Il valore ZoneId=0 corrisponde alla zona "Local Machine", eliminando di fatto ogni restrizione.

La detection di questa tecnica si gioca sulla correlazione temporale tra due eventi: il montaggio o l'estrazione di un contenitore scaricato da Internet e la successiva esecuzione di binari privi di MOTW contenuti al suo interno. Le log source primarie sono Sysmon e il Security Event Log di Windows.

Il primo pilastro è il monitoraggio delle operazioni di mount. Quando un utente monta un file ISO o VHD, Windows genera un evento Sysmon EventID 1 (Process Create) per il processo che gestisce il mount — tipicamente explorer.exe o dism.exe. In parallelo, il sistema registra la creazione di un nuovo volume logico. La regola di correlazione deve catturare la sequenza: download del contenitore (Sysmon EventID 11, FileCreate con estensione .iso/.vhd/.vhdx/.img) seguito dal mount entro una finestra temporale configurabile.

Il secondo pilastro è la detection dei file "orfani" di MOTW. Dopo il mount, qualunque esecuzione da un volume rimovibile appena creato merita attenzione. Sysmon EventID 1 con campo Image che punta a una lettera di drive non standard, oppure a un percorso sotto \Volumes\, è un indicatore forte. Il tuning critico qui è la whitelist dei tool di estrazione enterprise: software come 7-Zip (open source) o WinRAR (a pagamento) generano pattern simili durante l'uso legittimo e devono essere filtrati nel campo ParentImage.

Per la modifica diretta dell'ADS, il monitoraggio richiede Sysmon EventID 15 (FileCreateStreamHash), che registra la creazione o modifica degli Alternate Data Stream. Un alert su qualsiasi scrittura al stream Zone.Identifier con valore ZoneId=0 rileva il pattern usato da Amadey. Il tasso di falsi positivi è basso perché raramente software legittimo riscrive questo valore a zero.

Sul fronte preventivo, le mitigazioni indicate sono concrete e implementabili. Disabilitare l'auto-mount dei file immagine disco tramite modifica delle associazioni file in Windows Explorer (rimuovendo la registrazione delle estensioni .iso, .img, .vhd, .vhdx) elimina il vettore del doppio click. A livello perimetrale, il blocco dei file contenitore su email gateway e web proxy intercetta la distribuzione prima che raggiunga l'endpoint. Strumenti di application control come AppLocker o Windows Defender Application Control (nativi Windows) consentono di bloccare l'esecuzione di binari non firmati provenienti da percorsi associati a volumi rimovibili.

Un approccio stratificato — blocco perimetrale dei contenitori, disabilitazione dell'auto-mount, detection delle esecuzioni post-mount — riduce drasticamente la superficie esposta.

L'analisi forense del bypass MOTW richiede di ricostruire una sequenza precisa: arrivo del contenitore, interazione dell'utente, esecuzione del payload. Gli artefatti sono distribuiti su più livelli del sistema e la sfida è correlarli temporalmente.

Il punto di partenza è l'Alternate Data Stream del file contenitore stesso. Se l'ISO o il VHD è ancora presente su disco, il suo Zone.Identifier prova l'origine Internet. Lo strumento Streams di Sysinternals (gratuito) permette di enumerare gli ADS, mentre l'analisi del contenuto del stream rivela il ReferrerUrl e l'HostUrl — due campi che indicano rispettivamente la pagina web da cui è partito il download e l'URL diretto del file. Questi valori sono forensicamente preziosi perché collegano il contenitore a una specifica campagna di distribuzione.

La $MFT (Master File Table) di NTFS è il secondo artefatto critico. Ogni file creato durante il download, il mount e l'estrazione lascia un record con timestamp di creazione ($STANDARD_INFORMATION e $FILE_NAME). Tool come MFTECmd di Eric Zimmerman (open source) permettono di parsare la MFT e ricostruire l'ordine esatto degli eventi. Si cercano in particolare i file .lnk, .exe o .dll creati poco dopo il file .iso/.vhd nella stessa cartella Downloads o in una lettera di drive temporanea.

Il registro eventi Windows fornisce ulteriori marker. L'evento EventID 1006 del log Microsoft-Windows-VHDMP registra il mount di dischi virtuali VHD/VHDX. Per i file ISO, il driver cdrom genera eventi nel log di sistema. La correlazione di questi eventi con i Sysmon EventID 1 successivi (creazione processi dal volume montato) costruisce la catena causale completa.

Per il caso specifico della manipolazione diretta dell'ADS (tecnica Amadey), il Sysmon EventID 15 con l'hash dello stream è la prova primaria. Il campo Contents registra il valore scritto, permettendo di distinguere una sovrascrittura malevola (ZoneId=0) dal valore originale.

Infine, i Prefetch (nella directory C:\Windows\Prefetch) documentano la prima esecuzione dei binari estratti dal contenitore. Il timestamp del file .pf, incrociato con il timestamp di mount del contenitore, delimita la finestra di compromissione. ShimCacheParser (open source) e il modulo AmcacheParser di Eric Zimmerman (open source) completano il quadro con dati di esecuzione aggiuntivi.

Il bypass del MOTW è un tratto comune a gruppi con capacità e obiettivi molto diversi, il che ne conferma la trasversalità come tecnica di evasione. Tre profili APT e due famiglie malware emergono dai dati disponibili.

APT29 — Il gruppo russo ha integrato il bypass MOTW nelle proprie catene di accesso iniziale con un approccio sofisticato: file ISO e VHDX vengono incorporati direttamente in pagine HTML, sfruttando la tecnica di HTML Smuggling. Questo doppio livello di evasione — il smuggling aggira i filtri email e il contenitore ISO/VHDX aggira il MOTW — è indicativo della complessità operativa tipica di APT29. L'uso del formato VHDX (oltre al più comune VHD) suggerisce attenzione alla compatibilità con versioni recenti di Windows.

APT38 — Il gruppo nordcoreano, noto per operazioni con finalità finanziaria, utilizza sia ISO che VHD come vettori per il deploy di malware. L'adozione di entrambi i formati indica un approccio pragmatico: si adatta il contenitore al contesto dell'operazione. La combinazione con la motivazione finanziaria del gruppo rende questa tecnica rilevante per il settore bancario e finanziario.

TA505 — Il gruppo a motivazione finanziaria utilizza file .iso per distribuire file .lnk malevoli. La scelta del .lnk come payload interno è significativa: i file di collegamento possono referenziare eseguibili, script PowerShell o LOLBin, fungendo da trampolino flessibile per qualsiasi catena di infezione successiva. TA505 opera tipicamente su volumi elevati di distribuzione, il che rende il bypass MOTW via ISO uno strumento di evasione su scala.

Sul fronte malware, QakBot ha adottato il packaging in ISO come metodo standard di distribuzione, confermando che questa tecnica è scalabile anche per operazioni di tipo commodity malware. Amadey, con l'approccio diverso della modifica diretta del Zone.Identifier a zero, rappresenta una variante che non richiede contenitori ma agisce post-download, ampliando la superficie della tecnica.

Il pattern che emerge è chiaro: il bypass MOTW tramite contenitori è diventato una commodity condivisa tra gruppi state-sponsored e attori cybercriminali. La convergenza su ISO come formato preferito — adottato da tutti e tre i gruppi APT e da QakBot — indica che questo è il vettore con il miglior rapporto costo-efficacia. La tendenza evolutiva punta verso l'integrazione con tecniche di smuggling (come fa APT29) per aggirare simultaneamente i controlli perimetrali e quelli endpoint.

Framework MITRE ATT&CK v16 — T1553.005 (Mark-of-the-Web Bypass), TA0005 (Defense Evasion). Gruppi: G0016, G0082, G0092. Software: S0650, S1025. Mitigazioni: M1038, M1042. Detection: DET0257/AN0712. Integrato con conoscenza professionale per tool e procedure operative.