Script di Avvio: Boot or Logon Initialization Scripts - RC Scripts (T1037.004)

Per testare la persistenza tramite RC script, inizia verificando quali file di avvio sono presenti sul sistema target. Su distribuzioni Linux tradizionali, il file principale è /etc/rc.local:

echo "nohup /tmp/backdoor.sh &" >> /etc/rc.local

Su sistemi ESXi, il percorso differisce leggermente. UNC3886 ha dimostrato l'efficacia di questa tecnica posizionando script in /etc/rc.local.d/:

echo '#!/bin/sh' > /etc/rc.local.d/99-persistence.sh
echo '/bin/sh /tmp/payload.sh &' >> /etc/rc.local.d/99-persistence.sh
chmod +x /etc/rc.local.d/99-persistence.sh

Per sistemi macOS legacy (Panther v10.3 e precedenti), il file target è /etc/rc.common. Il malware iKitten utilizzava questa tecnica aggiungendo una riga simile a:

/usr/local/bin/malicious_binary &

Verifica sempre i permessi prima della modifica. Gli RC script richiedono privilegi root, quindi assicurati di avere l'accesso necessario. Su Ubuntu e derivate che mantengono compatibilità backward, controlla che il file abbia i permessi di esecuzione:

ls -la /etc/rc.local
chmod +x /etc/rc.local

Per simulare l'approccio di Cyclops Blink, che modificava script con nomi specifici come S51armled, esplora la directory /etc/init.d/:

cp /etc/init.d/skeleton /etc/init.d/S99malware
update-rc.d S99malware defaults

Il monitoraggio delle modifiche agli RC script richiede un approccio multi-livello. Configura auditd per tracciare ogni accesso in scrittura ai file critici:

auditctl -w /etc/rc.local -p wa -k rc_script_change
auditctl -w /etc/rc.local.d/ -p wa -k rc_script_dir

Le modifiche legittime sono rare, quindi ogni alert merita attenzione immediata. Velvet Ant ha dimostrato come anche dispositivi di rete come F5 BIG-IP possano essere compromessi tramite /etc/rc.local modificato.

Per ESXi, monitora specificamente /etc/rc.local.d/local.sh attraverso syslog. Crea una regola che rilevi pattern sospetti come:

• Esecuzione di binari da directory temporanee
• Uso di nohup o background execution (&)
• Download di file esterni tramite wget o curl

Su sistemi Linux standard, combina il monitoraggio di auditd con l'analisi dei syslog. Cerca eventi SYSCALL correlati a modifiche dei file di startup seguiti da esecuzioni anomale durante il boot successivo.

Il timing è cruciale: una modifica a rc.local seguita da un riavvio entro 24-48 ore è un forte indicatore di attività malevola. APT29 utilizzava proprio questa sequenza per installare run command persistenti.

L'analisi forense degli RC script modificati inizia dall'esame dei timestamp. Su Linux, usa stat per verificare quando il file è stato modificato:

stat /etc/rc.local
stat /etc/rc.local.d/*

Confronta questi timestamp con i log di sistema per identificare l'utente responsabile. Gli RC script richiedono privilegi root, quindi cerca escalation di privilegi precedenti nella timeline.

HiddenWasp lasciava tracce caratteristiche aggiungendo se stesso a /etc/rc.local. Cerca pattern come:

• Path assoluti a binari in directory non standard
• Comandi base64 encoded
• Reindirizzamento dell'output a /dev/null

Per sistemi ESXi, la persistenza è particolarmente critica dato che molti file vengono persi al riavvio. Analizza /etc/rc.local.d/local.sh per identificare modifiche che sopravvivono ai reboot.

Su macOS legacy, esamina anche /Library/StartupItems e /System/Library/StartupItems oltre a /etc/rc.common. Green Lambert utilizzava una combinazione di file init.d e rc.d per garantire l'esecuzione su diversi sistemi.

Recupera backup dei file originali se disponibili e confrontali con le versioni compromesse. Spesso gli attaccanti mantengono il contenuto originale aggiungendo solo una o due righe alla fine del file.

APT29 (Cozy Bear) ha integrato gli RC script nel proprio arsenale per campagne di lungo termine. Il gruppo russo utilizza questa tecnica principalmente su server Linux che gestiscono infrastrutture critiche, dove i riavvii sono rari ma la persistenza è essenziale.

Velvet Ant ha dimostrato un approccio più mirato, compromettendo specificamente dispositivi F5 BIG-IP attraverso /etc/rc.local modificato. Questo suggerisce una conoscenza approfondita dell'infrastruttura target e probabilmente intelligence preliminare sui sistemi in uso.

UNC3886 rappresenta l'evoluzione più sofisticata, specializzandosi in ambienti virtualizzati. Il gruppo posiziona script bash in /etc/rc.local.d/ su sistemi dove la persistenza tradizionale è difficile, indicando capacità avanzate e possibile focus su data center e cloud provider.

L'overlap nei tool mostra pattern interessanti: mentre Cyclops Blink modifica script con nomi specifici come S51armled per mimetizzarsi, HiddenWasp e Green Lambert preferiscono approcci più diretti modificando rc.local o aggiungendo nuovi file init.d.

La geografia degli attacchi suggerisce che gruppi dell'Europa dell'Est favoriscono questa tecnica per campagne a lungo termine, mentre attori asiatici la utilizzano per mantenere l'accesso a infrastrutture critiche dopo la compromissione iniziale.

Framework MITRE ATT&CK T1037.004. Documentazione delle campagne di APT29, Velvet Ant e UNC3886. Analisi dei malware Cyclops Blink, HiddenWasp, iKitten e Green Lambert. Guide di hardening per sistemi Unix-like e implementazione di File Integrity Monitoring.