det0165-behavioral-detection-of-command-history-clearing

# DET0165 — Behavioral Detection of Command History Clearing ## Descrição Esta estratégia detecta a limpeza deliberada do histórico de comandos shell como parte de remoção de indicadores pós-comprometimento — mapeado em [[t1070-003-clear-command-history|T1070.003 - Clear Command History]]. Adversários executam `history -c`, `unset HISTFILE`, configuram `HISTSIZE=0`, ou truncam diretamente arquivos como `~/.bash_history` e `~/.zsh_history` para apagar rastros de atividade. Os indicadores incluem execução de `history -c` ou `history -w` por usuários interativos fora de horários normais, variável de ambiente `HISTFILE` sendo redirecionada para `/dev/null`, truncamento ou deleção de arquivos de histórico por processo não-shell, e `HISTSIZE` ou `HISTFILESIZE` sendo definidos como zero em sessões interativas. Telemetria de auditoria de shell (bash audit, auditd com `execve`) e monitoramento de integridade de arquivos (`~/.bash_history`) são as fontes primárias. A detecção deve considerar contexto temporal: limpeza de histórico após execução de múltiplos comandos em curto intervalo (reconnaissance + privilege escalation) é muito mais suspeita do que limpeza isolada. Correlacionar com outros eventos de [[t1070-indicator-removal|T1070 - Indicator Removal]] aumenta a confiança. ## Indicadores de Detecção - Execução de `history -c` ou `history -w` por conta de usuário não-administrativa - `HISTFILE=/dev/null` ou `HISTSIZE=0` definido em sessão interativa suspeita - Truncamento (`> ~/.bash_history`) ou deleção de arquivo de histórico shell - Processo não-shell (ex: script Python, malware) escrevendo em arquivos de histórico - Sequência: múltiplos comandos de reconhecimento seguidos imediatamente de limpeza de histórico ## Técnicas Relacionadas - [[t1070-003-clear-command-history|T1070.003 - Clear Command History]] — técnica principal detectada - [[t1070-indicator-removal|T1070 - Indicator Removal]] — categoria pai - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] — ambiente de execução relacionado - [[t1021-004-ssh|T1021.004 - SSH]] — acesso remoto frequentemente associado a limpeza de histórico ## Analytics Relacionadas - [[an0467-analytic-0467|AN0467 — Analytic 0467]] - [[an0468-analytic-0468|AN0468 — Analytic 0468]] - [[an0469-analytic-0469|AN0469 — Analytic 0469]] - [[an0470-analytic-0470|AN0470 — Analytic 0470]] - [[an0471-analytic-0471|AN0471 — Analytic 0471]] --- *Fonte: [MITRE ATT&CK — DET0165](https://attack.mitre.org/detectionstrategies/DET0165)*