# AN0307 — Analytic 0307 ## Descrição Esta analítica detecta a correlação de operações `chmod` que definem bits setuid/setgid seguidas por execução de processo privilegiado (EUID != UID), especialmente a partir de caminhos graváveis pelo usuário ou caminhos não padrão. A telemetria inclui logs de auditd para syscalls `chmod` e `execve` com verificação de EUID/UID do processo resultante, além de alertas de monitoramento de integridade para modificações de bits de permissão especiais. A detecção é relevante pois a configuração de setuid em binários instalados pelo atacante é técnica clássica de escalada de privilégios persistente no Linux, usada para manter acesso root mesmo após remoção de outros mecanismos de persistência. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1548-001-setuid-and-setgid|T1548.001 — Setuid and Setgid]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN0307](https://attack.mitre.org/detectionstrategies/DET0110#AN0307)*