Cancellazione dei Log di Sistema: Clear Linux or Mac System Logs (T1070.002)

La simulazione di questa tecnica in laboratorio è tra le più dirette dell'intero framework. L'obiettivo non è solo eseguire la cancellazione, ma farlo con le stesse varianti usate dai gruppi APT documentati, per verificare che la detection sia robusta su ogni metodo.

Il primo scenario replica il comportamento di Rocke e TeamTNT: cancellazione massiva della directory /var/log/. L'approccio più grezzo è:

sudo rm -rf /var/log/syslog /var/log/auth.log /var/log/kern.log

TeamTNT si concentrava sul solo syslog, ma in un test vale la pena allargare il perimetro. Per simulare la pulizia più chirurgica di Salt Typhoon, che cancella anche i record di login binari, aggiungi:

sudo truncate -s 0 /var/log/wtmp /var/log/btmp /var/log/lastlog

cat /dev/null > ~/.bash_history && history -c && unset HISTFILE

L'ultimo comando replica anche il comportamento di Sea Turtle, che disattiva la history di Bash tramite unset. Il troncamento con truncate -s 0 è preferibile alla rimozione con rm perché non genera errori nei daemon che tengono aperto il file descriptor — ed è anche più difficile da notare, perché il file continua a esistere.

Su macOS la superficie è diversa. Proton rimuove log da /var/logs e /Library/logs. Per simularlo puoi utilizzare:

sudo rm -f /Library/logs/.asl*

sudo log erase --all

Il comando log erase è specifico del framework Unified Logging di macOS e richiede privilegi di root. Per testare la detection senza distruggere tutto l'ambiente, è consigliabile operare su una macchina virtuale con snapshot.

Per un esercizio red team strutturato, Atomic Red Team (open source) fornisce test atomici pre-confezionati per questa tecnica. L'esecuzione tramite il modulo PowerShell Invoke-AtomicTest — che funziona anche su Linux e macOS tramite il runner pwsh — permette di lanciare scenari ripetibili:

Invoke-AtomicTest T1070.002

Questo esegue tutti i test registrati per la sotto-tecnica, generando al contempo artefatti utili per validare le regole di correlazione del SOC. Prima di ogni test, verifica che la catena di forwarding dei log verso il SIEM sia attiva: l'obiettivo primario è misurare il delta temporale tra cancellazione locale e ultimo evento ricevuto dal collector.

Il paradosso della detection su questa tecnica è evidente: stai cercando di rilevare la distruzione della cosa stessa che usi per rilevare. Per questo motivo, l'architettura conta più della singola regola.

La detection comportamentale documentata (DET0520) si articola su due analisi distinte per Linux e macOS. Su Linux (AN1438), il punto cardine è la telemetria di auditd: le syscall unlink, unlinkat, open con flag O_TRUNC e truncate applicate a path sotto /var/log/ sono il segnale primario. Configura una regola auditd dedicata:

-w /var/log/ -p wa -k log_clearing

Questa regola genera eventi per ogni scrittura o modifica di attributi nella directory. Il tuning suggerito prevede tre parametri chiave: la finestra temporale per correlare esecuzione di comandi e interazione con i file di log, il pattern regex dei path (ad esempio /var/log/auth.log, /var/log/syslog) e il contesto utente, dove l'esecuzione da parte di root fuori da task schedulati noti alza la severity.

Su macOS (AN1439), la sorgente è il sistema Unified Logging (macos:unifiedlog) combinato con il monitoraggio del filesystem (fs:fsusage). Gli indicatori chiave sono invocazioni di rm, truncate o redirect con echo > su path come /var/log/system.log o /var/log/asl.log. L'elemento discriminante è la process lineage: un utente interattivo non amministrativo che cancella log è anomalo; un daemon di rotazione che lo fa è normale.

Per gestire i falsi positivi, il nemico numero uno è logrotate. Su Linux, questo servizio tronca e ruota regolarmente i file di log: ogni regola deve escludere i PID e i parent process associati a logrotate e alle sue configurazioni sotto /etc/logrotate.d/. Analogamente, su macOS il processo newsyslog esegue operazioni simili.

Il controllo preventivo più efficace è il Remote Data Storage (M1029): configurando il forwarding dei log verso un SIEM — tramite Splunk (a pagamento), Graylog (open source) o Security Onion (open source) — si garantisce che anche se l'attaccante cancella tutto localmente, una copia degli eventi sia già al sicuro. L'ideale è minimizzare il delay di forwarding: un invio in near-real-time rende la cancellazione locale sostanzialmente inutile. Complementa con Restrict File and Directory Permissions (M1022), applicando permessi 640 o più restrittivi sui file di log critici e limitando la scrittura al solo gruppo adm o equivalente.

Quando un attaccante cancella i log, il forensic analyst deve lavorare con le assenze tanto quanto con le presenze. Il primo artefatto da cercare non è un evento, ma un gap temporale: un buco nella sequenza cronologica di auth.log o syslog è spesso il segnale più eloquente di una pulizia avvenuta.

Su filesystem ext4, lo strumento chiave è l'analisi dei metadati inode. Anche dopo la cancellazione con rm, i timestamp di deletion restano nel journal del filesystem. Con Sleuth Kit (open source) puoi recuperare queste informazioni:

fls -rd /dev/sda1 | grep var/log

Questo comando elenca i file cancellati nella partizione, filtrando per la directory di interesse. Il tool istat dello stesso pacchetto permette poi di esaminare i timestamp di ogni inode recuperato, ricostruendo il momento esatto della cancellazione.

Per i file binari come wtmp e btmp — quelli che Salt Typhoon cancellava sistematicamente — il troncamento a zero byte lascia una firma precisa: il file esiste con dimensione zero e un mtime recente. Confronta il mtime con il ctime: se coincidono e sono recenti, il file è stato troncato; se il ctime è successivo al mtime, c'è stata una modifica di attributi post-cancellazione. Il comando stat fornisce tutti questi dettagli:

stat /var/log/wtmp /var/log/btmp /var/log/lastlog

Se il forwarding remoto era attivo (anche parzialmente), il SIEM conserva gli eventi fino al momento della cancellazione. L'ultimo evento locale presente nel SIEM ma assente sul disco definisce il lower bound della finestra di compromissione.

Per quanto riguarda la bash history, Sea Turtle non si limitava a cancellare il file ma eseguiva unset HISTFILE, che impedisce la scrittura futura senza toccare il file esistente. A livello forense, cerca il valore della variabile HISTFILESIZE nel profilo utente (~/.bashrc, ~/.bash_profile): un valore impostato a zero o un unset HISTFILE hardcoded sono indicatori persistenti di manipolazione.

Su macOS, Proton rimuoveva log da /Library/logs, una directory non standard per i log di sistema (quelli risiedono in /var/log/). L'analisi degli Apple System Log (ASL) e del database Unified Logging tramite il comando log show può rivelare discontinuità temporali. Wazuh (open source) e OSSEC (open source), se installati prima dell'incidente, forniscono alert di File Integrity Monitoring che registrano ogni modifica ai file monitorati, creando una traccia indipendente dalla sopravvivenza del log originale.

I quattro gruppi associati a questa tecnica coprono un arco di motivazioni e capacità sorprendentemente ampio, il che rende l'analisi dei pattern particolarmente interessante.

Salt Typhoon rappresenta il livello più sofisticato. Questo gruppo, attribuito alla Cina e focalizzato su telecomunicazioni e infrastrutture critiche, esegue una pulizia multi-layer: bash_history, auth.log, lastlog, wtmp e btmp. La cancellazione simultanea di log testuali e binari indica una procedura operativa standardizzata, probabilmente parte di un playbook post-exfiltration. Il malware JumbledPath, associato allo stesso ecosistema di attacco a infrastrutture di rete, estende il concetto cancellando i log su tutti i dispositivi lungo il percorso di connessione — un comportamento coerente con operazioni che attraversano molteplici hop di rete compromessi.

Sea Turtle, anch'esso focalizzato su obiettivi strategici (DNS hijacking, enti governativi, settore telecomunicazioni), adotta un approccio complementare: oltre alla sovrascrittura dei log, disattiva la registrazione futura tramite unset HISTFILE. Questa combinazione cancellazione-più-prevenzione suggerisce un'intenzione di permanenza prolungata, tipica di operazioni di spionaggio.

Sul versante opposto dello spettro, TeamTNT e Rocke sono gruppi orientati al cryptomining. TeamTNT colpiva selettivamente syslog, mentre Rocke operava una pulizia più ampia dell'intera directory /var/log/. Per entrambi la cancellazione è funzionale a nascondere l'installazione di miner e la modifica di crontab, non a proteggere un'operazione di intelligence.

Il pattern emergente è chiaro: la tecnica è un indicatore debole di attribuzione ma un indicatore forte di fase. Quando viene rilevata, l'operazione è già in stadio avanzato — post-exploitation o pre-esfiltrazione. Sul piano dei malware, UPSTYLE cancella specificamente i log di errore dopo aver estratto comandi incorporati, suggerendo un canale C2 che sfrutta i log applicativi come vettore di comunicazione. MacMa, attivo su macOS, pulisce i log applicativi come tracce di malware — un comportamento coerente con operazioni di sorveglianza mirata.

Per il monitoraggio proattivo, la convergenza di tool come JumbledPath e le procedure manuali di Salt Typhoon indica una tendenza verso l'automazione della pulizia anti-forense lungo catene di compromissione multi-dispositivo. Monitora i settori telecomunicazioni e infrastrutture di rete con priorità elevata.

Framework MITRE ATT&CK: T1070.002 (Clear Linux or Mac System Logs), TA0005 (Defense Evasion). Gruppi: G1045, G1041, G0139, G0106. Software: S1164, S1206, S1016, S0279. Mitigazioni: M1029, M1022, M1041. Detection: DET0520, AN1438, AN1439. Integrato con conoscenza professionale per tool e procedure operative.