det0563-detection-strategy-for-impair-defenses-via-impair-command-history-loggin

# DET0563 — Detection Strategy for Impair Defenses via Impair Command History Logging across OS platforms. ## Descrição A desabilitação do histórico de comandos é uma técnica de evasão comum ([[T1562.003 - Impair Defenses Impair Command History Logging|T1562.003]]) que adversários utilizam para apagar rastros de atividade maliciosa em shells interativas. Em Linux/macOS, isso é feito via `unset HISTFILE`, `export HISTSIZE=0`, `set +o history` ou redirecionando `HISTFILE` para `/dev/null`. Em Windows PowerShell, `Clear-History` ou configuração de `MaximumHistoryCount=0` são utilizados. Grupos pós-comprometimento como [[g0096-apt41]] e operadores de ransomware rotineiramente executam esses comandos antes de realizar operações destrutivas. A detecção desta técnica é desafiadora porque os próprios comandos de desabilitação não aparecem no histórico que desabilitam. A estratégia foca em fontes de log alternativas: auditoria de syscall via `auditd` (Linux), Script Block Logging do PowerShell e eventos de processo (Sysmon Event ID 1) que capturam a linha de comando completa independentemente do histórico de shell. Correlacionar a desabilitação do histórico com atividade subsequente de alta sensibilidade (acesso a credenciais, movimentação lateral, staging de dados) é o padrão de detecção de maior fidelidade. A ausência de entradas de histórico em um servidor onde houve atividade de login suspeita também deve ser tratada como indicador negativo relevante durante investigações forenses. ## Indicadores de Detecção - `unset HISTFILE` ou `export HISTSIZE=0` capturado via auditd ou Sysmon - PowerShell `Clear-History` ou configuração `$MaximumHistoryCount = 0` em sessão não interativa - Arquivo `.bash_history` ou `.zsh_history` truncado ou redirecionado para `/dev/null` - Sessão SSH com login bem-sucedido mas sem entradas no histórico de comandos - `Set-PSReadLineOption -HistorySaveStyle SaveNothing` em PowerShell remoto - Evento Sysmon 1 com `HISTFILE=/dev/null` como argumento de processo ## Técnicas Relacionadas - [[T1562.003-impair-defenses-impair-command-history-logging|T1562.003 — Impair Command History Logging]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[T1059.001-command-scripting-powershell|T1059.001 — PowerShell]] - [[T1059.004-command-scripting-unix-shell|T1059.004 — Unix Shell]] ## Analytics Relacionadas - [[an1555-analytic-1555|AN1555 — Analytic 1555]] - [[an1556-analytic-1556|AN1556 — Analytic 1556]] - [[an1557-analytic-1557|AN1557 — Analytic 1557]] - [[an1558-analytic-1558|AN1558 — Analytic 1558]] - [[an1559-analytic-1559|AN1559 — Analytic 1559]] --- *Fonte: [MITRE ATT&CK — DET0563](https://attack.mitre.org/detectionstrategies/DET0563)*