Mascheramento del Tipo di File: Masquerade File Type (T1036.008)

Il mascheramento del tipo di file è una tecnica che si presta perfettamente a esercizi red team perché richiede strumenti minimi e produce risultati osservabili per il blue team. L'obiettivo in laboratorio è validare se i controlli endpoint rilevano la discrepanza tra estensione e contenuto reale.

Modifica dell'estensione senza alterare il contenuto. Il caso più banale è rinominare un payload. Su Windows, in PowerShell:

Copy-Item -Path .\payload.exe -Destination .\report.jpg

Su Linux il concetto è identico:

cp payload.elf /tmp/photo.gif

Questo simula esattamente ciò che ha fatto Sandworm Team durante la campagna 2016 Ukraine Electric Power Attack (C0025), mascherando eseguibili con estensione .txt.

Manipolazione dei magic bytes. Un livello più sofisticato consiste nel preporre una firma JPEG (0xFF 0xD8 0xFF 0xE0) a un eseguibile, così che tool come file su Linux lo classifichino erroneamente. Con Python:

python3 -c "import sys; sys.stdout.buffer.write(b'\xff\xd8\xff\xe0' + open('payload.exe','rb').read())" > fake.jpg

A questo punto il comando file fake.jpg restituirà "JPEG image data" nonostante il contenuto reale sia un PE. L'utility file (open source, preinstallata su distribuzioni Linux) si basa sulla libreria libmagic e analizza solo i primi byte.

Creazione di file poliglotti. I file poliglotti, validi contemporaneamente come due formati diversi, rappresentano la forma più avanzata di questa tecnica — come documentato per StrelaStealer, distribuito come poliglotto DLL/HTML. Per creare un poliglotto HTML/JavaScript in laboratorio si può usare lo strumento Polyfile (open source) per analizzare e validare strutture multi-formato.

Simulazione con icone fuorvianti. Come documentato per Brute Ratel C4 e Raspberry Robin, mascherare un file LNK con l'icona di Microsoft Word o di una cartella è estremamente efficace contro l'utente. Su Windows si può creare un collegamento LNK tramite PowerShell, impostando la proprietà IconLocation su un'icona legittima di sistema:

$ws = New-Object -ComObject WScript.Shell; $sc = $ws.CreateShortcut("$env:TEMP\document.lnk"); $sc.TargetPath = "cmd.exe"; $sc.Arguments = "/c calc.exe"; $sc.IconLocation = "C:\Program Files\Microsoft Office\root\Office16\WINWORD.EXE,0"; $sc.Save()

Per la verifica, lo strumento Sigcheck di Sysinternals (gratuito) è ideale per confrontare estensione e firma reale:

sigcheck.exe -e C:\Users\target\Downloads\report.jpg

Su Linux, YARA (open source) permette di scrivere regole personalizzate che rilevano la discrepanza tra estensione e header, elemento chiave per validare la detection del blue team.

La detection di questa tecnica ruota attorno a un principio semplice: ciò che il file dice di essere non corrisponde a ciò che realmente è. La sfida operativa sta nel tradurre questo principio in alert a basso rumore.

Log source primari. Su Windows, Sysmon è la fonte principale. L'analytic AN0630 monitora la creazione di file con estensioni non eseguibili (.jpg, .txt, .gif) in directory sospette come %TEMP%, Downloads e AppData, e correla questi eventi con successive esecuzioni binarie. I tuning parameter fondamentali sono tre:

• MagicByteMismatchThreshold: soglia di tolleranza per discrepanze tra estensione e firma reale del file
• TimeWindow: intervallo tra creazione del file e prima esecuzione — una finestra di 60-300 secondi cattura la maggior parte dei pattern offensivi
• ParentProcessAnomalyScore: soglia per combinazioni parent-child anomale, ad esempio explorer.exe che lancia un processo figlio da un file .gif

Su Linux (AN0631), la coppia auditd e osquery permette di rilevare quando un file con estensione benigna viene invocato tramite execve. La regola auditd dovrà monitorare le syscall di esecuzione nelle directory /tmp/ e /home/*/Downloads/, confrontando il MIME type reale tramite ispezione dell'header ELF.

Su macOS (AN0632), gli Unified Log tracciano l'esecuzione tramite LaunchServices o Terminal di file con estensioni non tipicamente eseguibili ma con header Mach-O valido.

Logica di correlazione pratica. L'alert più efficace non è il singolo evento, ma la sequenza temporale: creazione di un file con estensione benigna in una directory di download, seguita entro la TimeWindow da un evento di esecuzione dello stesso file con un process lineage anomalo. Questa correlazione riduce drasticamente i falsi positivi rispetto al semplice match sull'estensione.

Controlli preventivi. Le tre mitigazioni censite offrono layer complementari. La Behavior Prevention on Endpoint (M1040) tramite HIPS identifica file con firme non corrispondenti all'estensione al momento dell'esecuzione. L'Antivirus/Antimalware (M1049) con analisi euristica può rilevare contenuto eseguibile dentro file apparentemente inerti. La Execution Prevention (M1038) è il controllo più robusto: policy AppLocker o WDAC che bloccano l'esecuzione di binari la cui estensione non corrisponde all'header reale, applicate in modo rigoroso alle directory user-writable.

Gestione falsi positivi. Alcune applicazioni legittime generano file con estensioni non standard — ad esempio tool di conversione immagini che scrivono file temporanei senza estensione. Costruire una whitelist basata sul processo padre e sulla directory di origine è più efficace che escludere intere estensioni.

L'analisi forense di un mascheramento del tipo di file richiede un approccio che metta a confronto tre elementi: il nome con cui il file si presenta, la sua firma binaria reale e il contesto in cui è stato creato, spostato ed eseguito.

Artefatti Windows. Il punto di partenza è la Master File Table (MFT) del volume NTFS. Ogni entry registra il nome del file, i timestamp di creazione, modifica e accesso, e la dimensione. Per un file mascherato come report.jpg che in realtà è un PE, l'analista cercherà la discrepanza confrontando i primi byte del contenuto — il magic number 4D 5A (MZ) del formato PE — con l'estensione .jpg. Lo strumento MFTECmd di Eric Zimmerman (open source) consente di parsare la MFT ed estrarre rapidamente queste informazioni.

La Prefetch directory (C:\Windows\Prefetch) è un secondo artefatto cruciale: se il file mascherato è stato eseguito, il sistema avrà creato un file .pf corrispondente. Il nome del prefetch includerà il nome originale del file, rendendo immediatamente visibile che un file con estensione .jpg o .gif è stato trattato come eseguibile — esattamente il pattern usato da MagicRAT, che scaricava payload eseguibili mascherati da file GIF.

Gli eventi Sysmon nel Windows Event Log forniscono la correlazione temporale: EventCode 11 (FileCreate) documenta la creazione del file nella directory di destinazione, mentre EventCode 1 (ProcessCreate) registra l'esecuzione successiva. La combinazione dei due eventi, con lo stesso percorso file, costruisce la sequenza creazione-esecuzione fondamentale per la timeline.

Artefatti Linux e macOS. Su Linux, il journal di auditd con la syscall execve registra l'esecuzione di file indipendentemente dalla loro estensione. Incrociando il timestamp di esecuzione con i metadati inode (tramite stat) si ricostruisce la sequenza di arrivo ed esecuzione. Il comando file applicato in modalità forense sull'immagine disco permette di verificare il tipo reale di ogni artefatto sospetto.

Su macOS, i file di quarantena (com.apple.quarantine extended attribute) e i database di LaunchServices tracciano i file scaricati e la loro prima apertura. Per un file come quelli usati da OSX_OCEANLOTUS.D — che sfruttava caratteri speciali nel nome e icone di Word per mascherare un application bundle — l'attributo di quarantina rivela l'origine del download e il momento esatto di prima esecuzione.

Pattern di correlazione cross-campagna. Un elemento ricorrente nelle campagne documentate è l'uso di directory temporanee come punto di staging: il file mascherato viene depositato in %TEMP% o /tmp/, rinominato con estensione benigna, e poi eseguito o caricato su un sistema target. Nella campagna Operation Dream Job (C0022), Lazarus Group ha mascherato template malevoli come file JPEG, un pattern che in ambito forense si rivela attraverso l'analisi degli header dei file nella directory di download dell'utente compromesso.

Il mascheramento del tipo di file è una tecnica trasversale che accomuna attori con motivazioni, capacità e obiettivi geografici molto diversi. Questo la rende particolarmente interessante per il profiling comparativo.

Volt Typhoon (G1017) è un attore legato alla Repubblica Popolare Cinese con focus su infrastrutture critiche, in particolare nei settori energia, telecomunicazioni e trasporti. Il loro utilizzo di questa tecnica è chirurgico e post-compromissione: appendono l'estensione .gif a copie del database ntds.dit, il cuore dell'Active Directory che contiene hash delle credenziali di dominio. Questo non è mascheramento per ingresso iniziale, ma per esfiltrazione furtiva — nascondere un file di elevato valore intelligence tra artefatti dall'aspetto innocuo per evitare che i controlli DLP lo intercettino durante il trasferimento.

Mustang Panda (G0129), anch'esso attribuito alla Cina, opera invece nella fase di accesso iniziale. Il gruppo maschera eseguibili malevoli come file legittimi per veicolare il malware PlugX, uno dei loro strumenti distintivi. Il pattern è diverso da Volt Typhoon: qui il mascheramento serve a ingannare l'utente finale, tipicamente attraverso campagne di spear-phishing con allegati che sembrano documenti legittimi.

BlackByte (G1043) rappresenta la dimensione finanziaria della tecnica. Questo gruppo ransomware ha mascherato file di configurazione contenenti chiavi di crittografia come immagini PNG. La motivazione è puramente operativa: proteggere le chiavi di cifratura da analisi automatiche durante la fase di deployment del ransomware, garantendo che il processo di crittografia non venga interrotto.

Dal punto di vista dei tool overlap, le campagne state-sponsored mostrano pattern interessanti. La campagna Operation Dream Job (C0022), attribuita a Lazarus Group, ha usato il mascheramento JPEG per template malevoli nel contesto di operazioni di cyber-spionaggio multi-settore che hanno colpito difesa, aerospazio e governo in cinque paesi. La campagna 2016 Ukraine Electric Power Attack (C0025), condotta da Sandworm Team, ha applicato la stessa logica mascherando eseguibili come file .txt durante l'attacco alle sottostazioni elettriche ucraine con il malware Industroyer.

Il trend emergente è l'uso di file poliglotti — come il DLL/HTML di StrelaStealer — che rappresentano un'evoluzione qualitativa rispetto al semplice cambio di estensione. I file poliglotti sono strutturalmente validi per più parser contemporaneamente, rendendo la detection significativamente più complessa. Parallelamente, il mascheramento tramite icone e strutture LNK, come documentato per Brute Ratel C4, ANDROMEDA e Raspberry Robin, sposta l'inganno dal livello tecnico a quello percettivo, sfruttando la fiducia dell'utente nell'interfaccia grafica del sistema operativo. Per l'analista di intelligence, monitorare l'adozione di tecniche poliglotte da parte di nuovi attori è un indicatore di maturazione delle capacità offensive.

Framework MITRE ATT&CK: tecnica T1036.008 (Masquerade File Type), campagne C0025 (2016 Ukraine Electric Power Attack), C0022 (Operation Dream Job). Mitigazioni M1040, M1049, M1038. Detection: DET0226 con analytic AN0630 (Windows/Sysmon), AN0631 (Linux/auditd), AN0632 (macOS/Unified Log). Integrato con conoscenza professionale per tool e procedure operative.