Picus Security selvittää MITRE ATT&CKin Unix Shell -tekniikan

Kyberturvallisuusyritys Picus Security on julkaissut yksityiskohtaisen analyysin yhdestä MITRE ATT&CK -viitekehyksen yleisimmistä hyökkäysmenetelmistä: T1059.004 Unix Shell. Tämä tekniikka mahdollistaa haitallisten toimintojen toteuttamisen Unix-pohjaisissa järjestelmissä hyödyntämällä näiden käyttöjärjestelmien natiiveja komentotulkkeja.

MITE ATT&CKissä T1059.004 kuuluu suoritustaktiikkaan ja viittaa siihen, miten hyökkääjät käyttävät Unix-shell-ympäristöjä, kuten Bashia tai Zsh:ta, komentojen ja skriptien suorittamiseen. Vaikka shell- komennot ovat välttämättömiä järjestelmän ylläpidolle ja automaatiolle, ne tarjoavat myös tehokkaan väylän hyökkääjille toteuttaa haitallisia toimia, kuten haittaohjelmien lataamista tai järjestelmäasetusten muuttamista.

Picus Securityn raportti korostaa, kuinka hyökkääjät yhdistävät yksinkertaisia, joskus obfuskoiduiksi muutettuja shell-komentosarjoja hyökkäysketjuihinsa. Esimerkiksi Ivanti EPMM -haavoittuvuutta hyödyntävässä hyökkäyksessä havaittiin lyhyt Bash-sarja, joka latasi ja suoritti haitallisen tiedoston kohdejärjestelmään.

Raportti esittelee myös kehittyneempiä tekniikoita, kuten haitallisten tiedostonimien luomista, jotka sisältävät suoritettavaa koodia. Tämä mahdollistaa koodin suorittamisen jopa tiedoston käsittelyn yhteydessä, mikä vaikeuttaa sen havaitsemista perinteisin keinoin. Tällaiset menetelmät ovat osa laajempaa pyrkimystä vaikeuttaa puolustusmekanismeja ja piilottaa haitalliset toiminnot järjestelmän normaaliin toimintaan.

Picus Securityn analyysi tarjoaa arvokasta tietoa tietoturva-ammattilaisille Unix-ympäristöjen suojaamiseksi ja tämän yleisen hyökkäystekniikan torjumiseksi.