Persistenza nei Sistemi Linux: Systemd Service (T1543.002)

La creazione di un servizio systemd malevolo richiede privilegi elevati ma garantisce persistenza robusta. Il primo passo consiste nel creare un file di servizio nella directory appropriata.

Per un servizio system-level, crea il file in /etc/systemd/system/:

sudo nano /etc/systemd/system/backdoor.service

Il contenuto minimo del servizio include le direttive di esecuzione:

[Unit]
Description=System Monitoring Service
After=network.target

[Service]
Type=simple
ExecStart=/usr/local/bin/monitor
Restart=always
User=root

[Install]
WantedBy=multi-user.target

La direttiva ExecStart punta al payload malevolo. Per mascherare l'attività, gli attaccanti spesso usano nomi generici come "syslogd" o "monitor". Il malware Gomir utilizza esattamente questa strategia nominando il servizio "syslogd".

Dopo aver creato il file, abilita e avvia il servizio:

sudo systemctl daemon-reload
sudo systemctl enable backdoor.service
sudo systemctl start backdoor.service

Per tecniche più avanzate, sfrutta i systemd generators che creano servizi dinamicamente durante il boot. Posiziona uno script eseguibile in /etc/systemd/system-generators/:

#!/bin/bash
cat > /run/systemd/generator/persistence.service << EOF
[Service]
ExecStart=/tmp/.hidden/payload
EOF

Gli attaccanti possono anche abusare dei symlink per nascondere il payload reale. SysUpdate copia script in /usr/lib/systemd/system/ con symlink mappati a directory root-owned per elevare i privilegi.

Per user-level persistence senza root, crea servizi in ~/.config/systemd/user/:

mkdir -p ~/.config/systemd/user/
cp backdoor.service ~/.config/systemd/user/
systemctl --user enable backdoor.service

Il rilevamento dei servizi systemd malevoli richiede monitoraggio multi-livello che combina analisi dei file system e del comportamento dei processi. La detection rule DET0253 fornisce una base solida per costruire alerting efficaci.

Configura auditd per monitorare le modifiche ai file di servizio:

-w /etc/systemd/system/ -p wa -k systemd_changes
-w /usr/lib/systemd/system/ -p wa -k systemd_changes
-w /home/ -p wa -k user_systemd_changes -F path=*.service

I log auditd genereranno eventi SYSCALL quando file .service vengono creati o modificati. Correla questi eventi con l'esecuzione di systemctl entro una finestra temporale di 5 minuti per ridurre i falsi positivi.

L'analisi comportamentale deve focalizzarsi su pattern sospetti nelle direttive ExecStart. Crea una allowlist di path binari legittimi come /usr/bin/ e /bin/. Qualsiasi ExecStart che punta a /tmp/, /dev/shm/ o directory non montate deve generare un alert ad alta priorità.

Osquery può enumerare periodicamente tutti i servizi systemd attivi:

SELECT name, source, status 
FROM systemd_units 
WHERE type = 'service' 
AND source NOT IN ('/usr/lib/systemd/system', '/lib/systemd/system');

Implementa controlli sull'entropia dei binari referenziati in ExecStart. File con entropia superiore a 7.5 potrebbero indicare payload packed o offuscati. Il gruppo Rocke utilizza spesso binari ad alta entropia nei loro servizi di cryptomining.

Per ridurre il rumore, filtra i servizi creati da utenti autorizzati tramite una UserContextFilter list. Monitora in particolare la combinazione systemctl enable + systemctl start eseguita in rapida successione da processi non interattivi.

L'analisi forense dei servizi systemd malevoli richiede l'esame di molteplici artefatti che testimoniano la creazione, modifica ed esecuzione del servizio nel tempo.

I file .service conservano timestamp di creazione e modifica nel filesystem. Utilizza stat per recuperare i metadata completi:

stat /etc/systemd/system/suspicious.service

Il journal di systemd contiene tracce dettagliate dell'attività del servizio. Estrai tutti i log relativi a un servizio specifico:

journalctl -u suspicious.service --since "2024-01-01" --output json > service_logs.json

Durante la campagna 2022 Ukraine Electric Power Attack, Sandworm Team configurò GOGETTER con WantedBy=multi-user.target. Questo pattern appare nei log di sistema quando il servizio viene abilitato per l'avvio automatico.

Gli artefatti di esecuzione si trovano anche in /var/log/syslog e /var/log/messages. Cerca entry contenenti "Started" seguite dal nome del servizio. Hildegard lasciava tracce distintive quando avviava il suo servizio di mining Monero.

Per ricostruire la catena di installazione, esamina i file di backup di systemd in /etc/systemd/system/.#* che potrebbero contenere versioni precedenti del servizio. La presenza di symlink anomali richiede particolare attenzione - traccia la loro creazione attraverso i log del filesystem.

L'analisi della memoria può rivelare servizi attivi non presenti su disco. Utilizza volatility per estrarre la lista dei processi e correlare con i PID registrati nei file di stato in /run/systemd/units/.

L'analisi delle campagne che sfruttano systemd service rivela pattern distintivi tra i diversi attori delle minacce. Ogni gruppo APT implementa variazioni uniche che permettono l'attribuzione e la previsione di future mosse.

TeamTNT si distingue per l'uso esclusivo di systemd per mantenere operazioni di cryptomining. I loro servizi utilizzano sempre systemctl per l'installazione e includono meccanismi di auto-riavvio aggressivi nella direttiva Restart. Il gruppo target principalmente Docker container mal configurati per poi installare servizi persistenti sull'host.

Rocke combina systemd persistence con tecniche di lateral movement. I loro servizi spesso includono funzionalità di backdoor oltre al mining, permettendo accesso remoto continuo. Monitorano costantemente la presenza di servizi concorrenti di altri gruppi di cryptomining che eliminano sistematicamente.

Scattered Spider rappresenta l'evoluzione verso tool di accesso remoto legittimi. Il loro uso di Teleport attraverso SYSTEMD_UNIT_PATH="/lib/systemd/system/teleport.service" dimostra la tendenza a mascherare l'attività malevola dietro software enterprise.

Sandworm Team eleva la tecnica a livello di sabotaggio infrastrutturale. Durante l'attacco del 2022 alle infrastrutture elettriche ucraine, configurarono GOGETTER per sopravvivere a tentativi di remediation, inclusi reboot forzati dei sistemi SCADA.

L'overlap nei tool è significativo: Pupy, Exaramel e Fysbis includono tutti moduli per systemd persistence. Questo suggerisce che future campagne integreranno sempre più questa capacità come standard. I gruppi APT stanno convergendo verso l'uso di systemd generators per creare servizi dinamicamente, rendendo la detection statica inefficace.

Tecnica documentata nel framework MITRE ATT&CK con dettagli su 3 gruppi APT attivi, 8 famiglie di malware e la campagna 2022 Ukraine Electric Power Attack. Risorse di detection basate sulla regola DET0253 per monitoraggio systemd su Linux.