# AN1209 — Analytic 1209 ## Descrição Detecta abuso de LD_PRELOAD e variáveis relacionadas do linker dinâmico no Linux para interceptar chamadas de biblioteca e executar código malicioso. A telemetria inclui eventos execve com LD_PRELOAD definido, criação de arquivos .so suspeitos em diretórios de usuário e processos que interceptam funções libc exibindo comportamento anômalo. Essa técnica é usada por rootkits e implantes de malware para hooking de funções do sistema, possibilitando ocultação de processos e escalada de privilégios. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1574.006-dynamic-linker-hijacking|T1574.006 — Dynamic Linker Hijacking]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN1209](https://attack.mitre.org/detectionstrategies/DET0435#AN1209)*