# AN0998 — Analytic 0998 ## Descrição Este analítico detecta a cadeia comportamental de escalada de permissões no Linux, correlacionando criação de processos de utilitários de modificação de permissão (chmod, chown, chgrp, setfacl) com parâmetros suspeitos, análise de syscalls para manipulação direta de metadados de arquivo, modificações de ACLs em caminhos críticos do sistema e padrões de permissão anômalos que divergem do baseline. A telemetria utilizada inclui eventos do auditd monitorando syscalls `chmod`, `fchmod`, `chown`, `fchown` em caminhos do sistema, complementado por análise de atributos estendidos via `getfattr`. A detecção é importante porque modificação de permissões é usada tanto para escalada de privilégios (tornar binários SUID) quanto para evasão de detecção (remover permissões de leitura de artefatos maliciosos implantados). **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1222-file-and-directory-permissions-modification|T1222 — File and Directory Permissions Modification]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN0998](https://attack.mitre.org/detectionstrategies/DET0351#AN0998)*