Pulizia Log di Sistema: Clear Linux or Mac System Logs (T1070.002)

La pulizia dei log richiede privilegi elevati ma offre numerosi approcci operativi. Su Linux, il comando più diretto rimane echo > /var/log/auth.log che svuota il file mantenendone l'esistenza.

Per una cancellazione più aggressiva, rm -rf /var/log/ && service rsyslog restart* elimina tutti i log e riavvia il servizio di logging. Questo approccio, utilizzato da TeamTNT contro /var/log/syslog, lascia tracce evidenti nel filesystem.

Su macOS, sudo rm /var/log/system.log && sudo killall syslogd forza il riavvio del demone dopo la cancellazione. Il malware Proton implementa questa tecnica rimuovendo log sia da /var/logs che da /Library/logs.

Una tecnica più sofisticata coinvolge la manipolazione temporale: touch -t 202201010000 /var/log/secure > /var/log/secure touch -r /etc/passwd /var/log/secure

Questa sequenza modifica il timestamp prima dello svuotamento, rendendo meno evidente l'intervento.

Salt Typhoon dimostra un approccio metodico cancellando .bash_history, auth.log, lastlog, wtmp e btmp. Per replicarlo: unset HISTFILE > ~/.bash_history cat /dev/null > /var/log/wtmp cat /dev/null > /var/log/btmp

Su sistemi con auditd attivo, auditctl -e 0 disabilita temporaneamente l'auditing prima della pulizia. Sea Turtle combina questa tecnica con l'unset della variabile HISTFILE per impedire registrazioni future.

La detection comportamentale risulta più efficace del semplice monitoring dei comandi. Auditd su Linux cattura syscall critiche attraverso regole specifiche che vanno oltre il pattern matching superficiale.

Configura auditd per monitorare operazioni su /var/log/: -w /var/log/ -p wa -k log_changes -a always,exit -F arch=b64 -S unlink,unlinkat,rename,renameat -F path=/var/log/ -k log_deletion

Queste regole generano eventi quando file di log vengono modificati o eliminati. L'analytic AN1438 correla comandi sospetti con modifiche ai file di log entro finestre temporali configurabili.

Su macOS, unified log e fsusage forniscono visibilità simile. L'analytic AN1439 identifica chiamate a utilità shell come echo >, rm, o truncate che targetizzano /var/log/. La correlazione temporale tra processo e I/O file aumenta l'accuratezza.

Un indicatore veloce coinvolge il monitoring di processi non amministrativi che accedono a /var/log/. Process lineage anomala, come shell spawned da servizi web, segnala potenziale compromissione. JumbledPath pulisce log su tutti i dispositivi lungo il percorso di connessione, richiedendo correlazione multi-host.

Per ridurre falsi positivi, implementa whitelist per processi di rotazione log legittimi come logrotate. Considera il contesto utente: root che pulisce log durante manutenzione schedulata differisce da www-data che accede a /var/log/secure.

Il tuning del parametro TimeWindow negli analytics permette di bilanciare detection speed e accuracy. Finestre troppo strette generano falsi negativi, mentre finestre ampie aumentano il rumore.

Gli artefatti di log clearing persistono anche dopo la cancellazione apparente. Il filesystem mantiene metadata che permettono ricostruzione parziale degli eventi anche quando il contenuto viene eliminato.

Su ext4, il journal contiene tracce di operazioni recenti. Il comando debugfs -R "logdump" /dev/sda1 può recuperare entry journal che documentano modifiche a /var/log/. Timestamp di inode change (ctime) non modificabili rivelano quando un file è stato realmente alterato.

MacMa pulisce application log per nascondere le proprie tracce, ma lascia inconsistenze nei metadata. File di log con size 0 ma mtime recente indicano svuotamento manuale piuttosto che rotazione naturale. La discrepanza tra atime e mtime suggerisce manipolazione.

Memory forensics può recuperare buffer di log non ancora scritti su disco. Volatility framework estrae strutture kernel che contengono messaggi di log in memoria. Questo approccio ha permesso di documentare attività di Rocke nonostante la pulizia di /var/log/.

La ricostruzione della timeline richiede correlazione tra multiple fonti. Wtmp e btmp backup, spesso dimenticati dagli attaccanti, forniscono login history. UPSTYLE pulisce error log dopo aver letto comandi embedded, ma lascia tracce nei file descriptor aperti catturabili via /proc/.

Per timeline accurate, confronta: timestamp filesystem di /var/log/ files, last modified time di binari di sistema, process creation time da /proc/, network connection establishment da netstat snapshots. Le discrepanze temporali rivelano finestre di attività malevola.

Rocke rappresenta il cryptomining APT che monetizza accessi attraverso Monero mining. La pulizia di /var/log/ accompagna deployment di miner, suggerendo operazioni hit-and-run piuttosto che persistenza long-term. Pattern geografico concentrato su cloud provider con istanze mal configurate.

TeamTNT evolve continuamente le proprie tecniche, specializzandosi in container environments. La rimozione di /var/log/syslog indica familiarità con Docker logging. Il gruppo targetizza Kubernetes clusters, suggerendo future evoluzioni verso log clearing in ambienti containerizzati.

Sea Turtle opera con sofisticazione state-sponsored, combinando log overwriting con unset di bash history. Questo doppio approccio rivela operational security maturity tipica di attori nation-state. Focus su DNS hijacking implica che future campagne includeranno pulizia di BIND log.

Salt Typhoon dimostra metodologia comprehensiva eliminando .bash_history, auth.log, lastlog, wtmp, e btmp. Questa checklist standardizzata suggerisce playbook consolidati e training uniforme degli operatori. Il gruppo probabilmente mantiene tool automation per log clearing.

Tool overlap tra gruppi rimane limitato, indicando sviluppo custom piuttosto che commodity malware. L'assenza di campagne documentate suggerisce che questa tecnica viene implementata in-house da ogni gruppo secondo proprie procedure operative.

Analisi basata su MITRE ATT&CK framework con focus su Defense Evasion tactics. Detection analytics AN1438 (Linux) e AN1439 (macOS) forniscono blueprint implementative per SOC. Documentazione gruppi APT da threat intelligence reports pubblici.