Modifica Permessi File: Linux and Mac File and Directory Permissions Modification (T1222.002)

La simulazione di questa tecnica richiede una comprensione profonda dei sistemi di permessi Unix. Il comando base per modificare i permessi è chmod, che accetta sia notazione simbolica che ottale.

Per replicare il comportamento di APT32, puoi rendere eseguibile un backdoor macOS con: chmod 755 /Users/Shared/AppStore.app

Questo comando assegna permessi completi al proprietario (rwx) e solo lettura ed esecuzione a gruppo e altri (r-x). Un approccio più aggressivo, utilizzato da malware come OSX/Shlayer, prevede: chmod 777 /tmp/malicious_payload

La modifica della proprietà dei file rappresenta un'escalation ulteriore. Il comando chown permette di appropriarsi di file critici: sudo chown $(whoami):$(whoami) /etc/passwd chmod 600 /etc/passwd

Questa sequenza rende l'attaccante proprietario esclusivo del file delle password, bloccando potenzialmente l'accesso ad altri utenti.

Per simulazioni avanzate, considera l'uso di chattr su sistemi Linux, tecnica documentata per TeamTNT: sudo chattr +i /usr/bin/critical_binary

Questo rende il file immutabile, impedendo modifiche anche all'utente root. La rimozione richiede: sudo chattr -i /usr/bin/critical_binary

Su macOS, il comando chflags offre funzionalità simili: chflags uchg /Applications/Target.app chflags hidden /Users/Shared/backdoor

Il secondo comando nasconde il file dal Finder, aumentando la furtività. Per test completi, crea uno script che automatizzi queste operazioni:

#!/bin/bash
# Persistence setup simulation
mkdir -p ~/.config/autostart
echo "#!/bin/bash" > ~/.config/autostart/updater.sh
echo "/tmp/backdoor &" >> ~/.config/autostart/updater.sh
chmod +x ~/.config/autostart/updater.sh
chown $USER:$USER ~/.config/autostart/updater.sh

Ricorda di testare sempre in ambienti isolati e documentare ogni modifica per il ripristino post-test.

La detection efficace richiede monitoraggio granulare delle system call. Su Linux, configura auditd per catturare le modifiche ai permessi:

-a always,exit -F arch=b64 -S chmod,fchmod,chown,fchown -F auid>=1000 -F auid!=unset -k permission_mod
-w /etc -p wa -k permission_critical
-w /usr/bin -p wa -k permission_binaries

Queste regole generano eventi quando utenti non di sistema modificano permessi, con focus su directory critiche. L'analisi comportamentale deve correlare modifiche sequenziali entro 300 secondi, tempo tipico tra modifica permessi ed esecuzione payload.

Per macOS, sfrutta il Unified Log system e FSEvents. Query essenziali includono: log show --predicate 'process == "chmod" OR process == "chown"' --last 1h

I pattern anomali da monitorare includono permessi 777, 755 su binari di sistema, o l'uso di setuid/setgid (4755, 2755). Black Basta utilizza specificamente chmod per ottenere permessi completi prima della cifratura.

Implementa detection basate su deviazioni statistiche. Se un utente normalmente non modifica permessi e improvvisamente esegue 10+ chmod in 5 minuti, genera un alert di severità media. Aumenta a critica se coinvolge path come /etc, /usr/bin, o /System su macOS.

La correlazione con processi spawn successivi è cruciale. Se chmod su un file è seguito da sua esecuzione entro la finestra temporale, l'alert diventa prioritario. Questo pattern è caratteristico di Kinsing e XCSSET.

Per ridurre i falsi positivi, mantieni una whitelist di script di amministrazione legittimi che modificano permessi. Tuttavia, anche questi devono essere monitorati per anomalie nel volume o nei target.

L'analisi forense dei permessi modificati richiede l'esame di molteplici artefatti. Su Linux, il file system ext4 mantiene timestamp dettagliati accessibili via stat: stat -c '%n %a %U %G %y' /suspicious/file

Questo mostra nome file, permessi ottali, proprietario, gruppo e tempo di modifica. I journal di auditd contengono la cronologia completa se configurati preventivamente.

Su macOS, oltre ai timestamp standard, esamina gli extended attributes: xattr -l /Applications/Compromised.app

La rimozione di com.apple.quarantine indica bypass di Gatekeeper, pattern comune in OSX_OCEANLOTUS.D e Dok.

La ricostruzione della timeline deve identificare cluster di attività. KV Botnet Activity mostrava pattern specifici: download tool, chmod +x, esecuzione immediata. Cerca sequenze simili nei log di sistema.

Per Linux, analizza /var/log/auth.log per sudo usage correlato:

grep -E "(chmod|chown)" /var/log/auth.log | grep -B2 -A2 "COMMAND"

I file di backup possono rivelare permessi originali. Confronta: ls -la /etc/passwd ls -la /var/backups/passwd.bak

Discrepanze indicano manipolazione post-compromissione. Bundlore tipicamente usa chmod -R 755 su intere directory, lasciando tracce evidenti di modifiche massive.

La memoria volatile può contenere evidenze di comandi eseguiti. Su sistemi live, estrai la command history di tutti gli utenti: find /home -name ".bash_history" -exec cat {} ; | grep -E "(chmod|chown|chattr)"

Documenta ogni anomalia con timestamp precisi per correlazione con altri IoC.

APT32 (Ocean Lotus) mostra predilezione per modifiche mirate dei permessi su backdoor macOS, specificamente impostando 755 per garantire esecuzione mantenendo apparenza di normalità. Il gruppo opera principalmente nel Sud-Est asiatico con focus su obiettivi governativi e media.

Rocke adotta approccio opposto, modificando permessi per impedire rimozione del malware cryptomining. Pattern geografico concentrato su server Linux con risorse computazionali elevate, targeting cloud providers in Nord America ed Europa.

TeamTNT rappresenta evoluzione tattica con uso di chattr per persistence avanzata. Specializzati in container environments, colpiscono infrastrutture Docker/Kubernetes globally. La sovrapposizione con Rocke nei target suggerisce possibile condivisione di infrastruttura o TTP.

Volt Typhoon, associato a KV Botnet Activity, dimostra sofisticazione statale con focus su infrastrutture critiche USA, particolarmente Guam. L'uso di device SOHO compromessi per obfuscation indica pianificazione strategica long-term.

Tool overlap significativo include Kinsing (TeamTNT/Rocke), suggerendo ecosistema criminale interconnesso. La convergenza su tecniche di modifica permessi indica efficacia comprovata contro difese standard.

Trend emergenti mostrano aumento di malware che combinano chmod con chflags su macOS per evasione multi-livello. XCSSET rappresenta questa evoluzione, targeting sviluppatori Xcode per supply chain attacks.

Prevedi incremento di attacchi che sfruttano permessi per compromise di CI/CD pipelines, dove modifiche sottili possono propagarsi globalmente. Monitor GitHub Actions, GitLab CI per anomalie nei permission workflows.

MITRE ATT&CK Framework T1222.002 - Linux and Mac File and Directory Permissions Modification. Documentazione dettagliata su APT32, TeamTNT, Rocke e relative campagne. Volt Typhoon KV Botnet Activity analysis (2022-2024). Best practices per auditd configuration e macOS Unified Logging system per detection comportamentale.