Sabotaggio dei Log di Comando: Impair Command History Logging (T1562.003)

La manipolazione della cronologia comandi richiede solo privilegi utente standard, rendendola accessibile anche senza elevazione. Su Linux, il comando più immediato è unset HISTFILE, che disabilita completamente la registrazione per la sessione corrente.

Per un approccio più sofisticato, puoi sfruttare HISTCONTROL impostandolo su "ignorespace". Questo permette di nascondere selettivamente i comandi semplicemente anteponendo uno spazio:

export HISTCONTROL=ignorespace

Da questo momento, qualsiasi comando preceduto da spazio non verrà registrato. APT38 ha utilizzato esattamente questa tecnica, digitando " ls" invece di "ls" per operare invisibilmente.

Su Windows, PowerShell offre opzioni altrettanto potenti. Il modulo PSReadLine può essere configurato per cessare completamente la registrazione:

Set-PSReadlineOption -HistorySaveStyle SaveNothing

Alternativamente, puoi reindirizzare i log verso un percorso controllato:

Set-PSReadLineOption -HistorySavePath C:\temp\fake_history.txt

Per sistemi ESXi, la variabile HISTFILE funziona similarmente a Linux. VIRTUALPITA, malware documentato in campagne recenti, combina due tecniche: export HISTFILE=0 per azzerare la cronologia e service vmsyslogd stop per disabilitare il logging di sistema.

Su macOS, dove HISTCONTROL non esiste di default, puoi comunque impostarla manualmente. La shell rispetterà le stesse regole di Linux, permettendo l'uso del trucco dello spazio iniziale.

Per testare l'efficacia, verifica con echo $HISTFILE che la variabile sia effettivamente non impostata. Esegui alcuni comandi sensibili, poi controlla che ~/.bash_history non contenga le tue attività recenti.

La detection di questa tecnica richiede un approccio multilivello che monitori sia le modifiche alle variabili d'ambiente che l'assenza di log attesi. Su Linux, configura auditd per intercettare le syscall che modificano HISTFILE:

-w /proc//environ -p wa -k histfile_tamper*

Il vero indicatore non è solo la modifica, ma la correlazione con sessioni shell attive che non producono history. Implementa una logica che confronti le sessioni bash/zsh attive con l'ultimo timestamp di modifica di ~/.bash_history.

Su Windows, abilita il logging dettagliato di PowerShell (ScriptBlock Logging) e monitora specificamente i comandi Set-PSReadlineOption. L'EventID 4104 catturerà questi tentativi, ma attenzione ai falsi positivi da script di configurazione legittimi.

Per ESXi, la sfida è maggiore data la limitata telemetria nativa. Monitora i log di shell per comandi come unset HISTFILE o modifiche a MYSQL_HISTFILE. BPFDoor ha dimostrato che gli attaccanti spesso combinano entrambe le variabili per coprire tracce sia shell che database.

La detection comportamentale più efficace correla tre indicatori: modifiche alle variabili di history, sessioni shell attive senza nuovi comandi registrati, e presenza di processi figli lanciati da shell "silenziose". Questa tripla verifica riduce drasticamente i falsi positivi.

Implementa whitelist per utenti e processi autorizzati a modificare la configurazione di logging. Gli amministratori di sistema potrebbero legittimamente disabilitare la history durante operazioni sensibili, quindi il contesto è fondamentale.

Quando la cronologia comandi è stata sabotata, la ricostruzione richiede fonti alternative. Su Linux, anche se ~/.bash_history è vuoto, controlla /proc/PID/environ per ogni processo shell ancora attivo. Qui troverai lo stato corrente delle variabili d'ambiente.

I file di configurazione shell (.bashrc, .profile, .zshrc) potrebbero contenere modifiche persistenti alle variabili HIST*. Sea Turtle ha dimostrato che gli attaccanti spesso modificano questi file per garantire che il sabotaggio sopravviva ai reboot.

Su Windows, anche con PSReadLine disabilitato, PowerShell mantiene tracce in memoria. Analizza i crash dump o la memoria di processo per recuperare comandi eseguiti. Il file ConsoleHost_history.txt potrebbe essere stato reindirizzato ma non eliminato: cerca percorsi alternativi nel filesystem.

Per dispositivi di rete, la situazione è complessa. Line Dancer, utilizzato nella campagna ArcaneDoor, disabilita syslog completamente. In questi casi, concentrati sui log di autenticazione e sulle modifiche di configurazione salvate, che spesso sopravvivono al sabotaggio della CLI history.

La timeline deve includere il momento esatto del sabotaggio. Cerca timestamp di quando HISTFILE è stata modificata correlando con altri eventi di sistema. Su ESXi, il servizio vmsyslogd arrestato lascia tracce nel boot log che possono aiutare a datare l'intrusione.

Recupera artefatti da backup e snapshot. Anche se l'attaccante ha pulito la history corrente, versioni precedenti potrebbero esistere in backup automatici o shadow copies.

APT38 rappresenta il caso d'uso più sofisticato, utilizzando sistematicamente lo spazio iniziale nei comandi per operare invisibilmente. Questo gruppo nordcoreano ha perfezionato la tecnica al punto da includerla nelle loro procedure operative standard.

Sea Turtle, con focus su provider DNS e registrar, combina il sabotaggio di history con la compromissione di infrastrutture critiche. La loro firma distintiva include l'azzeramento simultaneo di bash e MySQL history, indicando operazioni che coinvolgono database.

UNC3886 ha evoluto la tecnica durante la campagna RedPenguin, iniettando direttamente nei processi Junos OS per inibire il logging a livello kernel. Questo salto qualitativo suggerisce capacità di sviluppo malware avanzate e conoscenza approfondita di sistemi embedded.

Medusa Group si distingue per l'approccio PowerShell-centrico, rimuovendo fisicamente i file di history invece di solo disabilitarli. Questo indica una mentalità più distruttiva e meno preoccupata di mantenere accesso persistente.

L'evoluzione della tecnica mostra una chiara progressione: dai semplici unset HISTFILE alle iniezioni in-memory per bypass del logging kernel. I gruppi APT stanno investendo risorse significative per perfezionare questi metodi di evasion.

Pattern geografici emergono chiaramente: gruppi asiatici preferiscono l'approccio "spazio iniziale", mentre attori mediorientali tendono verso la disabilitazione completa. Questa differenza culturale nell'approccio operativo può aiutare nell'attribuzione.

Framework MITRE ATT&CK T1562.003. Campagne documentate: ArcaneDoor (UAT4356/STORM-1849) e RedPenguin (UNC3886). Strumenti di detection: auditd per Linux, Sysmon per Windows, configurazioni per ESXi e network devices. Best practices da CIS Benchmarks per hardening delle variabili d'ambiente.