# AN1241 — Analytic 1241 ## Descrição Detecta redirecionamento do fluxo de execução de syscall via modificação de stubs de código VDSO ou entradas GOT para carregar e executar um objeto compartilhado malicioso através de mmap e ptrace no Linux. A telemetria inclui eventos de auditoria do kernel monitorando uso de ptrace e modificações em áreas de memória mapeadas do kernel, como a Virtual Dynamic Shared Object. Essa análise é relevante para detectar rootkits sofisticados que subvertem o mecanismo de chamadas de sistema para interceptar ou redirecionar operações privilegiadas. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1055.009-proc-memory|T1055.009 — Proc Memory]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN1241](https://attack.mitre.org/detectionstrategies/DET0448#AN1241)*