# AN0010 — Analytic 0010 ## Descrição Detecta modificações da variável de ambiente $PATH em arquivos de configuração de shell ou alterações de PATH em tempo de execução, seguidas de execução de binários a partir de diretórios controlados pelo usuário, observando edições em arquivos como ~/.bashrc, ~/.profile ou /etc/paths.d e a execução de processos que resolvem para localizações de binários inesperadas. A telemetria provém de auditd (syscalls de gravação de arquivo e execução), logs de shell e eventos de EDR que rastreiam resoluções de caminhos de executáveis. Este analítico é fundamental para detectar PATH hijacking em Linux, onde adversários inserem binários trojanizados antes dos legítimos na ordem de busca do sistema. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] --- *Fonte: [MITRE ATT&CK — AN0010](https://attack.mitre.org/detectionstrategies/DET0004#AN0010)*