Nomi Legittimi, Intenti Malevoli: Match Legitimate Resource Name or Location (T1036.005)

La simulazione di questa tecnica in laboratorio è essenziale per validare le capacità di detection del Blue Team. L'obiettivo è verificare se gli strumenti difensivi sono in grado di distinguere un binario legittimo dal suo impostore, basandosi su metadati, hash e contesto di esecuzione piuttosto che sul solo nome file.

Il punto di partenza più immediato su Windows è la copia e rinomina di un payload in una directory fidata. Si può partire con un semplice binario di test — la calcolatrice va benissimo come proxy iniziale, ma per un test realistico conviene usare un payload C2 vero. Con Cobalt Strike (a pagamento) o Sliver (open source), genera un beacon e rinominalo:

copy beacon.exe C:\Windows\System32\svchost.exe

Poi eseguilo e osserva se il SIEM solleva alert. Il test è efficace perché svchost.exe legittimo viene avviato esclusivamente da services.exe — qualsiasi altra parent process è anomala. Un secondo scenario prevede di imitare un software di terze parti, come facevano Chimera rinominando malware in GoogleUpdate.exe o APT32 usando install_flashplayers.exe:

rename payload.exe GoogleUpdate.exe move GoogleUpdate.exe "%LOCALAPPDATA%\Google\Update"

Su Linux la simulazione richiede un approccio diverso. Rocke e TeamTNT rinominavano miner come java o sostituivano script di sistema. Per replicare:

cp ./miner /usr/bin/java chmod +x /usr/bin/java

Verificare poi se auditd cattura la discrepanza tra hash del binario e quello atteso. Lo strumento osquery (open source) è particolarmente utile per questa validazione: una query come SELECT name, path, sha256 FROM processes WHERE name='java' permette di confrontare rapidamente l'hash in esecuzione con quello legittimo.

Per ambienti containerizzati, si può creare un pod con un nome che imita un componente di sistema — ad esempio kube-proxy-helper in un namespace privilegiato — e verificare se le policy di admission control (OPA Gatekeeper, open source; Kyverno, open source) lo intercettano.

Un framework utile per orchestrare questi test è Atomic Red Team (open source), che include test atomici specifici per T1036.005. Il test T1036.005 copia un binario rinominato e verifica la reazione dell'endpoint. Su macOS, il test può coinvolgere la creazione di un'applicazione .app con un bundle name che imita un software noto, verificando se Gatekeeper e i log unificati segnalano l'anomalia.

Il consiglio pratico: non limitare il test al singolo file rinominato. Costruisci una catena che includa persistenza (scheduled task con nome legittimo, come faceva RedCurl con MicrosoftCurrentupdatesCheck) e movimento laterale. È la correlazione multi-step che mette davvero alla prova il SOC.

La sfida per il SOC è chiara: non puoi bloccare svchost.exe né mettere in blacklist C:\Windows\System32. Devi invece costruire detection basate sulla discrepanza tra nome e contesto — quello che in gergo si chiama "metadata mismatch".

Il pilastro della detection su Windows è Sysmon (gratuito, Microsoft Sysinternals). L'Event ID 1 (Process Create) fornisce campi cruciali: OriginalFileName, Hashes, ParentImage e Image. La regola cardine confronta il campo OriginalFileName nei metadati PE con il nome del file su disco. Se un processo si chiama svchost.exe ma il suo OriginalFileName è diverso, hai un indicatore forte. Analogamente, Sysmon Event ID 11 (FileCreate) permette di rilevare la creazione di file con nomi sospetti in directory fidate.

La strategia di analisi si articola su tre livelli complementari. Il primo è la validazione della parent process: svchost.exe legittimo ha come parent services.exe, csrss.exe nasce da smss.exe. Qualsiasi deviazione è un alert ad alta priorità. Il secondo livello riguarda il confronto hash: mantenere una baseline degli hash dei binari di sistema tramite strumenti come Sigcheck (gratuito, Sysinternals) eseguito periodicamente permette di identificare sostituti. Il terzo è la geolocalizzazione del file: un svchost.exe in %TEMP% o %APPDATA% non ha motivo di esistere.

Per la detection su Linux, i log di auditd sono la fonte primaria. Configurare regole di audit sulle directory sensibili cattura la creazione di file anomali:

-w /usr/bin/ -p wa -k suspicious_binary -w /usr/sbin/ -p wa -k suspicious_binary

L'analisi AN0984 suggerisce di validare l'hash dei file entro 5 minuti dalla creazione nelle directory monitorate — un approccio che si implementa bene con osquery (open source) tramite query schedulate.

Per gli ambienti container (AN0986), i log dell'API server Kubernetes e gli eventi containerd sono le fonti chiave. Le regole devono verificare che i nomi dei pod e i namespace corrispondano ai workload autorizzati, e che gli hash delle immagini siano nella baseline approvata. Falco (open source) eccelle in questo contesto, generando alert quando un container in un namespace sensibile esegue binari non previsti.

Per la gestione dei falsi positivi — il vero costo operativo di questa detection — il parametro process_baseline_age di 30 giorni indicato in AN0983 è un buon punto di partenza: i processi "nuovi" per l'ambiente ricevono scrutinio aggiuntivo, mentre quelli consolidati nella baseline vengono filtrati. La chiave è non disabilitare le regole quando i falsi positivi aumentano, ma affinarle con whitelist basate su hash e percorso, mai sul solo nome file.

L'analisi forense di questa tecnica ruota attorno a un principio: il nome mente, i metadati no. Ogni file su disco e ogni processo in memoria lasciano tracce che il semplice cambio di nome non può cancellare.

Su Windows, il punto di partenza è il Master File Table (MFT). Ogni entry contiene due attributi temporali distinti: $STANDARD_INFORMATION (facilmente manipolabile) e $FILE_NAME (molto più resistente al timestomping). Per un file chiamato svchost.exe trovato in %TEMP%, confrontare questi due set di timestamp rivela se il file è stato creato di recente e poi retrodatato. Lo strumento MFTECmd di Eric Zimmerman (open source) estrae queste informazioni in formato CSV analizzabile:

MFTECmd.exe -f "$MFT" --csv C:\output --csvf mft_analysis.csv

Il secondo artefatto critico è la tabella PE header. Il campo OriginalFilename nella risorsa VERSIONINFO è compilato a build-time e non cambia con la rinomina. Durante la SolarWinds Compromise (C0024), APT29 ha rinominato DLL e software per apparire benigni, ma i metadati PE dei file come SUNBURST, TEARDROP e RAINDROP presentavano discrepanze con i legittimi file SolarWinds che imitavano. Lo strumento pestudio (freemium) e il già citato Sigcheck sono ideali per questa verifica.

Gli eventi Prefetch forniscono un terzo livello. Windows mantiene file .pf nella directory C:\Windows\Prefetch con il nome originale dell'eseguibile e il suo hash di percorso. Se un attaccante rinomina beacon.exe in svchost.exe, il file Prefetch SVCHOST.EXE-{hash}.pf conterrà riferimenti a DLL e percorsi incoerenti con il vero svchost.exe. PECmd (open source, Eric Zimmerman) analizza questi file:

PECmd.exe -d C:\Windows\Prefetch --csv C:\output --csvf prefetch_analysis.csv

Su Linux, la forensic si concentra su artefatti diversi. Per i casi come TeamTNT che sostituiva .dockerd con i propri script, l'analisi dei metadati ELF tramite readelf rivela le sezioni del binario e le informazioni di compilazione. Il confronto tra l'hash del file sospetto e quello del pacchetto ufficiale (tramite il package manager) è immediato: rpm -Vf /usr/bin/java su sistemi Red Hat o debsums su Debian verificano l'integrità dei file di sistema.

Per la ricostruzione della timeline, la correlazione è fondamentale. Un file GoogleUpdate.exe creato in %LOCALAPPDATA%\Google\Update\ — come nel caso di Chimera — va correlato con: eventi di rete (connessioni C2), eventi Sysmon (EventID 1 per la creazione del processo, EventID 3 per le connessioni), e log del scheduled task che potrebbe garantire la persistenza. AXIOM (a pagamento) e Plaso/log2timeline (open source) sono strumenti standard per costruire super-timeline che integrano tutte queste fonti.

Negli ambienti container, durante la J-magic Campaign (C0050), il malware J-magic si rinominava in [nfsiod 0] per imitare un processo NFS. L'analisi forense di container richiede l'estrazione dell'immagine e il confronto layer-by-layer tramite dive (open source) per identificare modifiche non autorizzate.

Con 59 gruppi che adottano questa tecnica, il masquerading tramite nomi legittimi è un denominatore comune trasversale a geografie, motivazioni e livelli di sofisticazione. Tuttavia, i pattern di utilizzo rivelano differenze significative che aiutano la profilazione.

APT29 rappresenta il livello più sofisticato di applicazione. Nella SolarWinds Compromise (C0024), non si è limitato a rinominare file: ha creato certificati Azure AD con Common Name corrispondenti ai service principal compromessi, elevando il masquerading dal filesystem all'infrastruttura cloud. Questa evoluzione è un indicatore di tendenza — aspettatevi che i gruppi avanzati applichino la stessa logica a risorse cloud-native (function names, service account, tag di risorse).

Il cluster iraniano mostra un pattern coerente. MuddyWater usa nomi associati a Windows Defender, Magic Hound imita dllhost.exe per mascherare Fast Reverse Proxy e MicrosoftOutLookUpdater.exe per Plink, Fox Kitten usa svhost e dllhost, e APT42 ha mascherato il payload VINETHORN come applicazione VPN. Durante HomeLand Justice (C0038), i file sono stati rinominati in GoXML.exe e cl.exe. Il pattern è chiaro: prediligono nomi di utilità Microsoft e software di sicurezza, puntando su ambienti enterprise dove questi processi sono ubiqui.

I gruppi legati alla Cina mostrano una predilezione per il masquerading combinato con DLL side-loading. Mustang Panda usa adobeupdate.dat, PotPlayerDB.dat e OneDrive.exe per caricare PlugX e Cobalt Strike. Ke3chang colloca malware in percorsi di software legittimamente installato — Realtek Audio, Foxit Reader, Adobe Flash, Acrobat Reader — sfruttando la fiducia implicita nel percorso. Earth Lusca ha spostato una DLL malevola in C:\Windows\System32\spool\prtprocs\x64\ per farla caricare dal servizio Print Spooler, combinando masquerading e abuso di servizi di sistema. Volt Typhoon ha usato nomi come cisco_up.exe, WmiPrvSE.exe e watchdogd.exe per mascherare tool come Earthworm e Fast Reverse Proxy — una scelta coerente con il loro approccio living-off-the-land.

Nel dominio ransomware e cybercrime, il masquerading è altrettanto diffuso ma meno curato. FIN7 ha eseguito Darkside come sleep.exe e imitato WsTaskLoad.exe; INC Ransom ha rinominato PsExec in winupd; Storm-1811 ha mascherato installer Cobalt Strike come parte di un pacchetto 7zip legittimo. Mustard Tempest ha introdotto un'innovazione interessante: l'uso di caratteri omoglifi cirillici (С e а) per creare Сhrome.Updаte.zip, visivamente identico a "Chrome.Update.zip" ma tecnicamente un nome file diverso — una tecnica che sfugge al matching esatto sulle stringhe.

Un trend emergente riguarda gli ambienti non tradizionali. La J-magic Campaign (C0050) ha preso di mira router Juniper con malware mascherato come JunoscriptService, mentre durante RedPenguin (C0056), UNC3886 ha creato malware su router Juniper MX con nomi che imitavano binari legittimi come appid, irad e jdosd. Nella 2016 Ukraine Electric Power Attack (C0025), il Sandworm Team ha usato nomi file associati a protocolli del settore elettrico. Questo spostamento verso infrastrutture OT, network equipment e ambienti embedded suggerisce che le baseline di detection devono estendersi ben oltre Windows.

Framework MITRE ATT&CK v16 — T1036.005, TA0005. Campagne: C0024 (SolarWinds Compromise), C0025 (2016 Ukraine Electric Power Attack), C0030 (Triton Safety Instrumented System Attack), C0032, C0038 (HomeLand Justice), C0050 (J-magic Campaign), C0056 (RedPenguin), C0017, C0018, C0012 (Operation CuckooBees), C0014 (Operation Wocao), C0006 (Operation Honeybee), C0013 (Operation Sharpshooter). Detection: Sysmon, osquery, auditd, Falco, Sigcheck. Forensic: MFTECmd, PECmd, Plaso/log2timeline, pestudio, dive. Integrato con conoscenza professionale per tool e procedure operative.