# AN0610 — Analytic 0610 ## Descrição Este analítico detecta manipulação adversária de caminhos de bibliotecas compartilhadas, variáveis de ambiente ou substituição de binários de serviços no Linux, observando modificações suspeitas em `/etc/ld.so.preload`, alterações em configurações de serviços ou escritas de arquivos que substituem executáveis existentes. A telemetria inclui logs de auditoria Linux com monitoramento de escrita em `/etc/ld.so.preload` e diretórios de binários de serviços, alertas de integridade de arquivos via AIDE ou Tripwire e detecção de modificação de variáveis de ambiente de processos via `auditd`. Essa detecção é crítica pois a manipulação de `ld.so.preload` é uma técnica de injeção universal no Linux que força o carregamento de uma biblioteca maliciosa em todos os processos iniciados no sistema, sendo usada por rootkits avançados para comprometimento persistente e furtivo. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1014-rootkit|T1014 — Rootkit]] --- *Fonte: [MITRE ATT&CK — AN0610](https://attack.mitre.org/detectionstrategies/DET0218#AN0610)*