Picus Security explique la technique T1059.004 Unix Shell du MITRE ATT&CK
La société de cybersécurité Picus Security a analysé la technique T1059.004 Unix Shell dans le cadre du MITRE ATT&CK. Cette méthode exploite les interfaces en ligne de commande Unix pour exécuter des commandes et des scripts malveillants.
La société de cybersécurité Picus Security a publié une analyse approfondie de la technique T1059.004 Unix Shell, une méthode courante identifiée dans le cadre du MITRE ATT&CK. Cette technique détaille comment les attaquants utilisent les interfaces en ligne de commande natives des systèmes de type Unix pour exécuter des commandes et des scripts malveillants, présentant ainsi une menace significative pour la sécurité des systèmes.
Dans la matrice MITRE ATT&CK, T1059.004 appartient à la tactique d'exécution. Elle décrit l'utilisation de divers shells Unix, tels que Bash, Zsh et Korn Shell, pour exécuter des commandes et des scripts. Bien que ces shells soient des outils essentiels pour l'administration système et l'automatisation, ils sont également fréquemment détournés par les acteurs de la menace à des fins malveillantes. Les attaquants les utilisent pour déployer des logiciels malveillants, modifier les configurations système et orchestrer les étapes suivantes d'une attaque.
Le rapport de Picus Security souligne comment les attaquants intègrent souvent des commandes shell simples, parfois obfusquées, dans leurs chaînes d'attaque. Un exemple cité implique une attaque exploitant des vulnérabilités d'Ivanti EPMM, où une courte séquence Bash a été utilisée pour télécharger et exécuter une charge utile malveillante sur des systèmes compromis. Cela met en évidence l'adaptabilité des commandes shell dans divers scénarios d'attaque.
De plus, l'analyse aborde des tactiques d'évasion plus sophistiquées, comme la création de noms de fichiers malveillants contenant des commandes encodées. Lorsqu'ils sont traités par un interpréteur de shell, ces noms de fichiers peuvent déclencher l'exécution de scripts malveillants. Cette méthode, observée dans la campagne VShell, permet une exécution en mémoire et un masquage de processus, rendant la détection particulièrement difficile pour les équipes de sécurité.
L'explication complète de Picus Security fournit des informations cruciales aux professionnels de la cybersécurité, leur permettant de mieux comprendre et de se défendre contre l'utilisation abusive des shells Unix dans les cyberattaques.