# AN0835 — Analytic 0835 ## Descrição Esta analítica detecta uma sequência comportamental de escalonamento de privilégios não autorizado via modificação de permissões: execução de processo chmod/chown/setfacl com parâmetros suspeitos, direcionamento de arquivos críticos do sistema ou valores de permissão incomuns, correlação com contexto de usuário sem privilégios ou padrões de timing incomuns, e acesso subsequente a arquivos indicando bypass bem-sucedido de permissões. A telemetria utilizada inclui logs auditd monitorando chamadas de sistema chmod, chown e setfacl em conjunto com verificações de contexto de usuário. Esta detecção é fundamental para identificar pós-exploração em servidores Linux, onde adversários frequentemente modificam permissões de binários SUID ou arquivos de configuração para manter privilégios elevados. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1222-file-and-directory-permissions-modification|T1222 — File and Directory Permissions Modification]] - [[t1222-002-linux-file-and-directory-permissions|T1222.002 — Linux and Mac File and Directory Permissions Modification]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN0835](https://attack.mitre.org/detectionstrategies/DET0299#AN0835)*