Picus Security belyser MITRE ATT&CKs Unix Shell-teknik

Cybersäkerhetsföretaget Picus Security har släppt en detaljerad analys av en av de vanligaste attackmetoderna inom MITRE ATT&CK-ramverket: T1059.004 Unix Shell. Denna teknik möjliggör genomförandet av skadliga operationer i Unix-baserade system genom att utnyttja dessa operativsystems inbyggda kommandotolkar.

Inom MITRE ATT&CK faller T1059.004 under exekveringstaktiken och hänvisar till hur angripare använder Unix-shell-miljöer, såsom Bash eller Zsh, för att köra kommandon och skript. Även om shell-kommandon är nödvändiga för systemadministration och automatisering, erbjuder de också en effektiv väg för angripare att utföra skadliga handlingar, som att ladda ner skadlig kod eller modifiera systeminställningar.

Picus Securitys rapport belyser hur angripare integrerar enkla, ibland obfuskerade, shell-skript i sina attackkedjor. Till exempel, i en attack som utnyttjade en sårbarhet i Ivanti EPMM, observerades en kort Bash-sekvens som laddade ner och exekverade en skadlig fil på målsystemet.

Rapporten presenterar också mer avancerade tekniker, såsom skapandet av skadliga filnamn som innehåller körbar kod. Detta möjliggör exekvering av kod även vid filhantering, vilket gör det svårare att upptäcka med traditionella metoder. Sådana metoder är en del av ett bredare försök att underminera försvarsmekanismer och dölja skadliga aktiviteter inom normal systemdrift.

Picus Securitys analys ger värdefull information för säkerhetspersonal för att skydda Unix-miljöer och motverka denna vanliga attackteknik.