# AN0053 — Analytic 0053 ## Descrição Detecta um processo carregando um objeto compartilhado (.so) via dlopen/LD_PRELOAD/open a partir de localizações não padrão ou temporárias (ex: /tmp, /dev/shm), especialmente logo após a escrita ou download do .so, ou vinculado via variáveis de ambiente manipuladas (LD_PRELOAD/LD_LIBRARY_PATH), indicando possível injeção de biblioteca ou persistência via preload. A telemetria inclui auditd com monitoramento de chamadas dlopen/openat, análise de variáveis de ambiente de processo e correlação com criação de arquivo em localizações temporárias. Esse analítico é fundamental para detectar técnicas de LD_PRELOAD hijacking usadas em Linux para interceptar chamadas de sistema e executar código malicioso sob contexto de processos legítimos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0053](https://attack.mitre.org/detectionstrategies/DET0018#AN0053)*