det0520-behavioral-detection-of-log-file-clearing-on-linux-and-macos

# DET0520 — Behavioral Detection of Log File Clearing on Linux and macOS ## Descrição A limpeza de arquivos de log é uma técnica de evasão defensiva ([[t1070-indicator-removal|T1070 — Indicator Removal]]) amplamente utilizada por adversários para apagar rastros de atividade maliciosa em sistemas Linux e macOS. Em ambientes Unix-like, os principais alvos incluem `/var/log/auth.log`, `/var/log/syslog`, `/var/log/secure`, arquivos de histórico de shell (`~/.bash_history`, `~/.zsh_history`) e logs de aplicação. Adversários utilizam comandos nativos como `truncaté`, `echo "" >`, `shred`, `> arquivo` ou a remoção direta com `rm` para eliminar evidências de acesso não autorizado, execução de comandos e movimentação lateral. Em macOS, além dos logs Unix tradicionais, adversários visam o subsistema de log unificado (`/var/db/diagnostics/`, `/private/var/log/`), que é central para investigações forenses. O uso de `log erase` ou manipulação direta do banco de dados de logs do sistema são sinais críticos. A detecção comportamental deve correlacionar operações de escrita em zero bytes sobre arquivos de log com o contexto do processo executor — um processo legítimo de rotação de logs (`logrotaté`, `newsyslog`) tem assinaturas de comportamento muito distintas de uma sessão de shell interativa ou backdoor. A estratégia de detecção mais eficaz combina monitoramento de auditoria do sistema (`auditd` em Linux, `OpenBSM` em macOS) com alertas em tempo real sobre truncamentos de arquivos críticos de log. A centralização de logs em um SIEM remoto antes que possam ser apagados localmente é a contramedida fundamental — se o adversário apagar logs locais mas os eventos já foram encaminhados, a evidência forense permanece intacta. ## Indicadores de Detecção - Chamadas de sistema `truncaté()` ou `open()` com flag `O_TRUNC` em arquivos dentro de `/var/log/` por processos que não sejam `logrotaté`, `syslog` ou similares - Execução de comandos `history -c`, `unset HISTFILE` ou `export HISTSIZE=0` em sessões interativas - Remoção ou sobrescrita de `~/.bash_history` ou `~/.zsh_history` durante sessão ativa - Uso de `shred -u` ou `wipe` em arquivos de log do sistema - Processo de shell executando `> /var/log/auth.log` ou equivalente (redirecionamento para zero bytes) - Evento `auditd` com syscall `unlink` em caminhos `/var/log/*` por usuário não-root ou root em sessão interativa incomum ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] — técnica principal coberta por esta estratégia - [[t1070-004-file-deletion|T1070.004 — File Deletion]] — subtécnica de deleção de arquivos de evidência - [[t1562-impair-defenses|T1562 — Impair Defenses]] — desativação de mecanismos de monitoramento - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] — execução de comandos de limpeza via shell - [[t1078-valid-accounts|T1078 — Valid Accounts]] — uso de credenciais legítimas para acesso com privilégio elevado ## Analytics Relacionadas - [[an1438-analytic-1438|AN1438 — Analytic 1438]] - [[an1439-analytic-1439|AN1439 — Analytic 1439]] --- *Fonte: [MITRE ATT&CK — DET0520](https://attack.mitre.org/detectionstrategies/DET0520)*