Cancellare le Tracce dalla Cronologia Comandi: Impair Command History Logging (T1562.003)

La simulazione di questa tecnica in laboratorio è sorprendentemente semplice, ma il valore sta nel testare se i controlli difensivi del cliente la rilevano davvero. L'obiettivo del red teamer non è solo eseguire il bypass, ma generare gli artefatti (o la loro assenza) che il blue team dovrebbe notare.

Linux e macOS — variabili d'ambiente

Il metodo più diretto consiste nel disattivare completamente la registrazione della sessione corrente. Il comando classico è:

unset HISTFILE

Questo impedisce alla shell di scrivere qualsiasi comando nel file di history al logout. Un'alternativa più sottile agisce sulla dimensione del file:

export HISTFILESIZE=0

Per un approccio meno invasivo — che non modifica variabili ma sfrutta un comportamento legittimo — si può configurare HISTCONTROL affinché ignori i comandi preceduti da uno spazio:

export HISTCONTROL=ignorespace

Da quel momento, ogni comando preceduto da uno spazio (es. " whoami") non verrà registrato. In un engagement reale, è buona pratica concatenare queste azioni all'inizio della sessione post-exploitation.

Per MySQL su host compromessi, l'approccio è analogo:

export MYSQL_HISTFILE=/dev/null

Windows — PSReadLine

Su PowerShell, il modulo PSReadLine scrive di default ogni comando in un file di testo. Per disabilitare completamente il salvataggio:

Set-PSReadLineOption -HistorySaveStyle SaveNothing

Per deviare il file di history verso un percorso controllato dall'attaccante (utile se si vuole mascherare l'attività senza eliminarla del tutto):

Set-PSReadLineOption -HistorySavePath "C:\Windows\Temp\legit.log"

Per rimuovere la cronologia già registrata nella sessione corrente:

Remove-Item (Get-PSReadLineOption).HistorySavePath

ESXi

Sugli hypervisor VMware ESXi la shell usa le stesse variabili Bash. Il comando unset HISTFILE funziona identicamente. In scenari avanzati, l'attaccante potrebbe anche fermare il servizio di syslog:

esxcli system syslog config set --loghost=""

Apparati di rete

Su dispositivi Cisco, un semplice no logging dalla CLI disabilita il logging storico della sessione. La sintassi varia per vendor: su Juniper il meccanismo coinvolge la configurazione del syslog di Junos OS.

Per orchestrare il test, tool come Atomic Red Team (open source) offrono test atomici già pronti per T1562.003 che eseguono queste varianti in modo ripetibile e documentato, ideali per validare le detection rule del SOC.

Il cuore della detection per questa tecnica è un principio controintuitivo: devi cercare l'assenza di qualcosa, non la sua presenza. Un utente con sessione attiva che non produce righe di history è anomalo quanto un cane che non abbaia di notte.

Linux — auditd come fondamento

La sorgente log primaria è auditd:SYSCALL. Configura regole audit che monitorino le modifiche alle variabili critiche intercettando le scritture sui file di configurazione della shell. Una regola auditd efficace sorveglia i file di profilo:

-w /etc/profile -p wa -k histcontrol_tampering -w /home/ -p wa -k bash_history

Integra con osquery (open source) per query periodiche sullo stato delle variabili d'ambiente dei processi attivi. Una query osquery su process_envs che filtri per HISTFILE vuoto o /dev/null evidenzia sessioni sospette in tempo quasi reale.

Il tuning è essenziale: definisci una lista di MonitoredUsers — tipicamente account di servizio e utenti privilegiati — dove la history deve essere sempre presente. Imposta una TimeWindow di correlazione per catturare la sequenza "login → unset HISTFILE → attività → logout" entro un intervallo ragionevole, generalmente 5-15 minuti dal login.

macOS — Unified Log

I log unificati di macOS (macos:unifiedlog) catturano le modifiche ambientali legate ai processi terminale. Attenzione alla varietà di shell: Bash, Zsh e Fish hanno meccanismi di history diversi, quindi i ShellProfiles monitorati devono coprire tutti e tre. Zsh, shell predefinita dalle versioni recenti di macOS, usa .zsh_history e variabili leggermente diverse.

Windows — PowerShell e Sysmon

Le sorgenti chiave sono WinEventLog:PowerShell e WinEventLog:Sysmon. Cerca eventi che contengano le stringhe Set-PSReadLineOption associate a -HistorySaveStyle SaveNothing o a -HistorySavePath con percorsi non standard. Mantieni una baseline di AllowedPaths — il percorso predefinito sotto $env:APPDATA — e genera alert per qualsiasi deviazione.

L'EventCode 4104 (ScriptBlock logging) è particolarmente utile perché registra il contenuto dei blocchi PowerShell eseguiti, rendendo visibili anche i tentativi di modifica della history.

ESXi e dispositivi di rete

Per ESXi, i log della shell (esxi:shell) vanno correlati con le sessioni amministrative note: una sessione root attiva senza comandi registrati è un segnale forte. Differenzia le AdminSessions legittime (manutenzione programmata) da quelle anomale.

Per gli apparati di rete, il monitoraggio dei log CLI (networkdevice:cli) richiede tuning specifico per DeviceVendors: la sintassi di Cisco, Juniper e Fortinet differisce, quindi le regole di detection devono essere adattate al vendor.

L'analisi forense della manipolazione della command history si gioca su un paradosso: cerchi artefatti di un'azione il cui scopo è eliminare artefatti. Eppure, la cancellazione perfetta è rara e le tracce residue raccontano una storia precisa.

Linux — ricostruire l'assenza

Il file ~/.bash_history è il punto di partenza naturale. Un file vuoto o con timestamp di modifica anomalo (ad esempio, un troncamento avvenuto durante una sessione attiva) è un indicatore primario. Confronta il mtime del file con i log di autenticazione (/var/log/auth.log o journal di systemd): se l'utente ha avuto una sessione SSH di 40 minuti ma il file history non ha subito aggiornamenti, qualcosa è stato soppresso.

Esamina il file /proc/<PID>/environ dei processi ancora attivi — o i dump di memoria se il processo è terminato — per verificare se HISTFILE è stato impostato a /dev/null o svuotato. Questo è esattamente il pattern usato da BPFDoor, che imposta sia MYSQL_HISTFILE che HISTFILE a /dev/null, lasciando traccia proprio in /proc/<PID>/environ.

I log di auditd, se configurati correttamente, conservano le syscall associate a unset e export delle variabili critiche. Cerca eventi con chiave di filtro correlata e ricostruisci la sequenza temporale: login → manipolazione variabile → attività non registrata → logout.

Windows — PowerShell e filesystem

Il file ConsoleHost_history.txt sotto $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ è l'equivalente Windows del bash_history. Un file improvvisamente vuoto, cancellato o con un percorso modificato nel registro PSReadLine segnala manipolazione. Medusa Group ha utilizzato proprio il comando Remove-Item (Get-PSReadLineOption).HistorySavePath per eliminare questo file.

Verifica i metadati NTFS con tool come MFTECmd (open source, parte della suite di Eric Zimmerman): il record MFT del file conserva i timestamp di creazione, modifica e cancellazione anche dopo la rimozione. L'EventCode 4104 nei log PowerShell potrebbe aver catturato il blocco di script che ha eseguito la cancellazione, fornendo il contenuto esatto del comando.

ESXi e appliance di rete

Per gli ambienti ESXi, VIRTUALPITA rappresenta un caso studio significativo: il malware imposta HISTFILE a 0 e arresta il servizio vmsyslogd, eliminando due fonti di evidenza contemporaneamente. In fase forense, verifica lo stato del servizio syslog e cerca tracce della sua interruzione nei log di sistema precedenti allo stop.

Nella campagna ArcaneDoor (C0046), il logging è stato disabilitato su appliance Cisco ASA. Per questi dispositivi, i log inviati a collector SIEM esterni prima della disabilitazione diventano l'unica fonte affidabile. La campagna RedPenguin (C0056) ha mostrato un pattern analogo su router Juniper MX, dove UNC3886 ha cancellato la variabile HISTFILE e iniettato processi per inibire il logging di Junos OS.

Quattro gruppi utilizzano questa tecnica, ma con motivazioni, target e sofisticazione molto diversi. Comprendere queste differenze aiuta a prevedere dove e come la tecnica verrà impiegata.

APT38 (G0082) è il gruppo legato al furto finanziario su larga scala. Il loro approccio alla manipolazione della history è pragmatico: antepongono uno spazio a ogni comando, sfruttando il comportamento nativo di HISTCONTROL=ignorespace. È una tecnica a basso impatto, che non modifica configurazioni di sistema e non lascia artefatti di manomissione — solo l'assenza di comandi registrati. Questo stile minimalista è coerente con operazioni che puntano a permanere nell'ambiente il più a lungo possibile senza attirare attenzione.

Sea Turtle (G1041) adotta un approccio più aggressivo: esegue l'unset esplicito dei file di history di Bash e MySQL sui sistemi compromessi. La scelta di cancellare anche la history MySQL suggerisce operazioni che coinvolgono l'accesso diretto a database, coerente con campagne focalizzate su esfiltrazione di dati da infrastrutture web.

Medusa Group (G1051) si distingue per l'operatività in ambiente Windows, utilizzando PowerShell e il modulo PSReadLine per rimuovere fisicamente il file di cronologia. L'uso del comando nativo Remove-Item anziché tool custom indica un approccio living-off-the-land che minimizza l'impronta sull'endpoint.

UNC3886 (G1048) rappresenta il profilo più sofisticato. Il gruppo non si limita a manipolare le variabili di history: disabilita interi servizi di logging su sistemi compromessi, inclusi hypervisor e dispositivi di rete. Le campagne RedPenguin (C0056) e ArcaneDoor (C0046) — quest'ultima associata alla distribuzione di Line Dancer (S1186) — mostrano un pattern chiaro: UNC3886 opera su infrastruttura perimetrale e di virtualizzazione dove il logging tradizionale è meno maturo.

Il pattern geografico rivela una convergenza: i gruppi che operano su infrastruttura di rete (UNC3886 in RedPenguin e gli operatori di ArcaneDoor) condividono la necessità di silenziare il logging CLI, suggerendo che i dispositivi di rete sono percepiti come punti ciechi difensivi. Sul fronte software, BPFDoor (S1161) e VIRTUALPITA (S1217) incarnano l'automazione della tecnica: il malware stesso si occupa di disabilitare la history all'avvio, senza richiedere intervento manuale dell'operatore. SILENTTRINITY (S0692) aggiunge una dimensione ulteriore bypassando lo ScriptBlock logging di PowerShell, combinando la soppressione della history con l'evasione del logging più granulare disponibile su Windows.

Il trend emergente è chiaro: questa tecnica si sta espandendo dalle workstation tradizionali verso hypervisor ESXi e apparati di rete, ambienti dove le capacità di detection sono storicamente più deboli.

Framework MITRE ATT&CK v16 — T1562.003, TA0005, campagne C0056 (RedPenguin), C0046 (ArcaneDoor). Mitigazioni M1028, M1039. Detection DET0563 (AN1555–AN1559). Tool di detection: auditd, osquery (open source), Sysmon (gratuito), MFTECmd (open source). Integrato con conoscenza professionale per tool e procedure operative.