MITRE ATT&CK T1562.003 - Ослабление защиты: Запись в журнал истории команд

Нарушение записи истории команд - это техника обхода защиты, которую злоумышленники используют для манипулирования или отключения записи истории команд, чтобы скрыть свою деятельность. Многие операционные системы, включая Windows, Linux и macOS, записывают активность командной строки, чтобы помочь администраторам и службам безопасности проводить аудит использования системы, обнаруживать аномалии и расследовать инциденты. Нарушив регистрацию истории команд, атакующие могут стереть следы выполненных команд, что значительно усложняет криминалистический анализ и поиск угроз.

Что такое регистрация истории команд?

Регистрация истории команд - это практика записи и хранения хронологической записи команд, выполненных в компьютерной системе или программной среде. Эта функция часто встречается в интерфейсах командной строки, где пользователи взаимодействуют с системой путем ввода текстовых команд. Ведение журнала команд предоставляет пользователям удобный и эффективный способ просматривать и вспоминать ранее выполненные команды. Ведя журнал команд, пользователи могут отслеживать свои действия, понимать последовательность операций и воспроизводить конкретные действия при необходимости.

Использование злоумышленниками функции ухудшения записи истории команд

Злоумышленники манипулируют или отключают механизмы регистрации, которые записывают команды пользователя, эффективно стирая цифровой след вредоносных действий. Подделывая или нарушая журнал регистрации команд, злоумышленники могут скрыть свои следы, что затрудняет системным администраторам и аналитикам безопасности анализ последовательности событий, определение природы инцидента и оперативное реагирование. Эта техника может быть использована против операционных систем Windows, Linux и macOS.

В среде Windows PowerShell хранит историю команд пользователя в файле в каталоге профиля пользователя. Злоумышленники подделывают файл ConsoleHost_history.txt с помощью следующих команд.

В средах Linux и macOS история команд записывается в файл, на который указывает переменная окружения HISTFILE. Когда пользователь выходит из системы, история сбрасывается в файл .bash_history в домашнем каталоге пользователя. Злоумышленники обычно подделывают переменную окружения HISTFILE, чтобы манипулировать записью истории команд. Если очистить переменную HISTFILE или установить ее размер в ноль, злоумышленники предотвратят создание журналов истории команд.

В июле 2024 года было сообщено об атаке SeleniumGreed, направленной на использование сервисов Selenium Grid и развертывание майнера XMRig. В этой атакующей кампании злоумышленники отключали ведение журнала команд для интерактивных сеансов оболочки, устанавливая переменную окружения HISTFILE в значение /dev/null.

Злоумышленники также могут использовать переменную HISTCONTROL для манипулирования записью истории команд. HISTCONTROL - это переменная bash, которая управляет тем, как команды сохраняются в журнале истории. Она включает в себя список значений, разделенных двоеточием, а именно:

• Ignorespace: В списке истории строки, начинающиеся с символа пробела, не сохраняются.
• Ignoredups: Строки, совпадающие с предыдущей записью истории, не сохраняются.
• Ignoreboth: Сокращение для 'ignorespace' и 'ignoredups'.
• Erasedups: Все предыдущие строки, совпадающие с текущей строкой, удаляются из списка истории.

В другой кампании криптоминера XMRig злоумышленники использовали встроенную команду shopt (опции оболочки), переменные HISTFILE, HISTCONTROL и HISTSIZE.

Приведенные ниже команды предотвращают добавление в файл истории дополнительных команд оболочки из сессии атакующего.