# AN0976 — Analytic 0976 ## Descrição Este analítico detecta escalada de privilégios no Linux monitorando logs de auditoria para mudanças nos bits setuid/setgid, execuções onde o UID real difere do UID efetivo (indicativo de sudo ou exploits de escalada), e binários de alta integridade lançados por usuários sem privilégios. A telemetria utilizada inclui eventos do auditd monitorando chamadas de sistema `chmod`, `execve` com variação de UID/EUID e `setuid`, além de logs de `sudo` e `su`. Esta detecção é fundamental porque escalada de privilégios via SUID abuse é uma técnica clássica usada por atacantes após comprometimento inicial para obter execução como root em sistemas Linux. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1222-file-and-directory-permissions-modification|T1222 — File and Directory Permissions Modification]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0976](https://attack.mitre.org/detectionstrategies/DET0345#AN0976)*