Chiamate Dirette alle API di Sistema: Native API (T1106)

L'obiettivo in laboratorio è dimostrare come un attaccante possa bypassare il monitoraggio delle API tradizionali invocando syscall direttamente, senza passare per le funzioni esportate da kernel32.dll o ntdll.dll. Questo è esattamente ciò che fanno gruppi come Chimera, che ha utilizzato Dumpert (open source) per eseguire dump di LSASS tramite syscall dirette, aggirando gli hook EDR.

Il primo passo è generare stub di syscall con SysWhispers2 (open source), un tool che produce header C e file assembly per invocare le Nt* API senza toccare ntdll.dll. Dal repository clonato, il comando per generare gli stub necessari è:

python3 syswhispers.py -f NtAllocateVirtualMemory,NtWriteVirtualMemory,NtCreateThreadEx -o syscalls

Questo produce i file syscalls.h, syscalls.c e syscalls-asm.asm, pronti per essere integrati in un progetto C/C++. Il codice compilato risolverà i numeri di syscall a runtime, rendendo il binario trasparente al monitoraggio basato su IAT hooking.

Per una dimostrazione più immediata, Cobalt Strike (a pagamento) permette di eseguire comandi shell senza invocare cmd.exe e comandi PowerShell senza powershell.exe, sfruttando direttamente le API native. In alternativa, Brute Ratel C4 (a pagamento) implementa nativamente syscall dirette per allocazione di memoria e creazione di thread, offrendo un profilo di evasione molto aggressivo.

Su Linux, la simulazione è più diretta. Un semplice programma C che invoca fork() seguito da execvp() replica il pattern usato da RotaJakiro per rigenerare i propri processi. Per monitorare il comportamento dall'altro lato, è utile tracciare le syscall con:

strace -f -e trace=fork,execve,mmap,ptrace -p <PID>

Su macOS, il test deve coinvolgere le API dei framework CoreServices e Foundation. Un binario Swift che utilizza NSTask per lanciare processi — come fa XAgentOSX con il metodo NSTask:launch — è sufficiente per validare le regole di detection dell'Endpoint Security framework di Apple.

Per il red team che vuole simulare la risoluzione dinamica delle API, tecnica usata da decine di malware documentati (da SynAck a Rising Sun), il pattern classico prevede la risoluzione a runtime di LoadLibrary e GetProcAddress su stringhe offuscate o hashate. Il tool SharpDisco (open source) e il framework Empire (open source) offrono moduli che sfruttano questa catena per enumerazione e discovery tramite API call. Donut (open source) è un altro strumento essenziale: genera shellcode position-independent che carica ed esegue assembly .NET, PE e DLL interamente in memoria, utilizzando API native per ogni operazione.

La detection delle Native API è una delle sfide più complesse per un SOC, perché ogni processo legittimo le utilizza. L'approccio vincente non si basa sulla singola chiamata API, ma sulla sequenza comportamentale: cosa succede prima e dopo quella chiamata, da quale processo proviene, e quali DLL vengono caricate in modo anomalo.

Su Windows, la fonte primaria è Sysmon (open source, richiede installazione e configurazione). L'analytic DET0529/AN1465 si concentra su processi inusuali che caricano DLL critiche come ntdll.dll e kernel32.dll seguiti da comportamenti di manipolazione della memoria o process hollowing. La chiave è filtrare su tre dimensioni simultanee:

• DLL caricate: focalizzarsi sui provider API di basso livello (ntdll.dll in primis). Un processo che carica ntdll.dll ma non passa per kernel32.dll è un indicatore di syscall dirette
• Processo padre: escludere i parent legittimi come explorer.exe, winlogon.exe, svchost.exe dopo averli profilati nel proprio ambiente
• Processo target: dare priorità quando il target è LSASS, csrss.exe o altri processi sensibili

Sysmon EventCode 7 (Image Loaded) cattura il caricamento delle DLL, mentre EventCode 8 (CreateRemoteThread) rivela i tentativi di injection che quasi sempre seguono la risoluzione delle API native. La correlazione tra i due eventi — caricamento di ntdll.dll da un processo inatteso seguito da un thread remoto verso LSASS — produce alert ad alta fedeltà.

Per la mitigazione preventiva, Windows Defender Application Control (WDAC, integrato in Windows) e AppLocker (integrato in Windows Enterprise) permettono di bloccare l'esecuzione di binari non firmati o provenienti da directory sospette come %TEMP% e %APPDATA%. Le regole Attack Surface Reduction (ASR) di Microsoft Defender possono impedire alle macro VBA di Office di invocare le Win32 API, un vettore usato da malware come Emotet e Hancitor.

Su Linux, auditd (integrato nel kernel) è la fonte dati indicata dall'analytic AN1466. Le regole devono monitorare le syscall fork, mmap, ptrace e execve in contesti anomali. Il tuning è fondamentale: i demoni di sistema e i task schedulati producono volumi enormi di questi eventi. La strategia è creare whitelist per i processi noti e focalizzarsi su mapping di memoria in percorsi sospetti (ad esempio sotto /tmp/).

Su macOS, i log unificati e l'Endpoint Security framework (AN1467) permettono di monitorare i processi che interagiscono con i framework CoreServices e Foundation. Il tuning deve escludere gli ambienti di sviluppo e i tool noti, concentrandosi su binari non firmati che creano regioni di memoria eseguibili.

L'analisi forense delle Native API richiede la ricostruzione della catena completa: quale processo ha risolto le funzioni, come le ha invocate, e cosa ne è risultato. Gli artefatti principali sono distribuiti tra memoria, filesystem e log di sistema.

Su Windows, il punto di partenza è il dump della memoria del processo sospetto. L'Import Address Table (IAT) rivela quali API il binario dichiara di utilizzare, ma il pattern più interessante è quando la IAT è quasi vuota — segno che il malware risolve le funzioni dinamicamente tramite GetProcAddress, come documentato per SynAck, Rising Sun, HotCroissant e decine di altri sample. Volatility 3 (open source) con il plugin windows.iat permette di estrarre la tabella delle importazioni, mentre windows.malfind identifica regioni di memoria con permessi RWX (Read-Write-Execute), indicatore classico di code injection via API native.

I log Sysmon forniscono la timeline degli eventi di processo. EventCode 1 (Process Create) registra la catena di parentela che rivela se CreateProcessW o WinExec sono stati invocati da un processo anomalo. Diversi gruppi APT utilizzano queste funzioni in modo caratteristico: Silence impiega CreateProcess() e ShellExecute(), Gamaredon Group usa CreateProcess per lanciare componenti aggiuntivi, ToddyCat sfrutta WinExec per eseguire comandi ricevuti dal C2. Correlare il EventCode 1 con il EventCode 10 (Process Access) verso LSASS permette di ricostruire tentativi di credential dumping via API.

I Prefetch (C:\Windows\Prefetch\) confermano l'esecuzione e le DLL caricate dall'eseguibile. Il file .pf associato al processo sospetto contiene i riferimenti a ntdll.dll, kernel32.dll e alle eventuali DLL aggiuntive caricate dinamicamente, utilissimi per confermare la risoluzione runtime delle API.

La Shimcache (nel registro SYSTEM, chiave AppCompatCache) e l'Amcache (C:\Windows\appcompat\Programs\Amcache.hve) registrano l'esecuzione di binari anche dopo la cancellazione, fornendo timestamp e hash SHA1 dei file eseguiti. Questi artefatti sono critici per confermare l'esecuzione di tool come Dumpert utilizzato da Chimera per le syscall dirette.

Su Linux, i log di auditd con regole sulle syscall execve, fork, mmap e ptrace forniscono la sequenza temporale delle invocazioni. Il file /proc/<PID>/maps (o il suo snapshot in un'immagine forense) rivela le regioni di memoria mappate dal processo, permettendo di identificare segmenti anonimi con permessi di esecuzione — la firma di shellcode iniettato tramite API native. Il tool Volatility 3 con il plugin linux.proc.maps consente questa analisi su dump di memoria.

Su macOS, i log unificati accessibili con log show --predicate filtrato su processi specifici catturano le interazioni con le API di sistema. Per sample come MacMa e XAgentOSX, la correlazione tra log di Endpoint Security e i metadata del filesystem (attributi estesi, quarantine flag) aiuta a ricostruire l'intera catena dall'arrivo del payload alla sua esecuzione via API native.

L'utilizzo delle Native API è trasversale a quasi ogni threat actor, ma le modalità specifiche di impiego rivelano TTP distintive che permettono di profilare gruppi e campagne.

Lazarus Group rappresenta il caso più articolato. Nella campagna Operation Dream Job (C0022, 2019-2020), che ha colpito settori difesa, aerospaziale e governativo in USA, Israele, Australia, Russia e India, il gruppo ha utilizzato l'API ObtainUserAgentString per estrarre lo User-Agent dal sistema compromesso e stabilire la comunicazione C2. Questa scelta è indicativa: invece di generare uno User-Agent statico, Lazarus preleva quello reale per mimetizzare il traffico. Il gruppo impiega anche funzioni meno note per Discovery e Process Injection, suggerendo un livello di sofisticazione nella selezione delle API che supera la semplice esecuzione. Lazarus è connesso anche alla campagna Operation Sharpshooter (C0013, 2017-2019), che ha colpito aziende nucleari, della difesa e finanziarie in Germania, Turchia, Regno Unito e USA, dove il downloader del primo stadio risolveva LoadLibraryA(), GetProcAddress() e CreateProcessA().

Turla mostra un uso specializzato delle API per sovvertire i meccanismi di difesa. Le sue backdoor RPC utilizzano chiamate API per disabilitare AMSI (Antimalware Scan Interface) e poi eseguire comandi tramite RPC e named pipe. Questo pattern — API per evasione difensiva seguita da API per esecuzione — è una firma comportamentale del gruppo. Il malware TinyTurla, attribuito al gruppo, conferma questa impronta con l'uso di WinHTTP e CreateProcess per le comunicazioni C2.

Sandworm Team utilizza le Native API in modo chirurgico nel contesto di operazioni distruttive. L'uso di Wow64DisableWow64FsRedirection() e Wow64RevertWow64FsRedirection() tramite il malware Prestige rivela la necessità di operare correttamente in ambienti a 64 bit da processi a 32 bit — un dettaglio tecnico che indica la consapevolezza delle complessità dell'architettura WoW64.

APT37 si distingue per l'uso esplicito delle API di process injection: VirtualAlloc(), WriteProcessMemory() e CreateRemoteThread() formano la classica triade dell'injection, un pattern condiviso con Ryuk, IcedID e numerosi altri malware. Il pattern, anche se comune, nell'arsenale di APT37 si inserisce in catene d'attacco orientate allo spionaggio piuttosto che alla monetizzazione.

La campagna Operation Wocao (C0014, 2017-2019), attribuita a sospetti attori cinesi con sovrapposizioni con APT20, ha colpito organizzazioni governative e MSP in oltre dieci paesi. L'uso combinato di CreateProcessA e ShellExecute dopo l'injection in un processo selezionato è un pattern da correlare con le TTP di Mustang Panda e menuPass, che utilizzano anch'essi le Windows API in modo estensivo per esecuzione e defense evasion. L'Operation Honeybee (C0006, 2017-2018), diretta contro organizzazioni umanitarie e legate agli affari intercoreani, ha impiegato CreateProcessAsUser, un'API che richiede token di impersonazione e rivela un interesse per il lateral movement con credenziali rubate.

Il trend emergente è l'adozione crescente di syscall dirette e API hashing per eludere il monitoraggio. Malware come SplatDropper e Pikabot popolano liste globali di indirizzi API da NTDLL e KERNEL32 e li referenziano senza mai chiamare le funzioni per nome, rendendo l'analisi statica estremamente difficile.

Framework MITRE ATT&CK v16 — Tecnica T1106 (Native API), Tattica TA0002 (Execution). Campagne: C0022 (Operation Dream Job), C0006 (Operation Honeybee), C0014 (Operation Wocao), C0013 (Operation Sharpshooter). Detection: Sysmon, auditd, macOS Endpoint Security framework. Integrato con conoscenza professionale per tool e procedure operative.