# AN1420 — Analytic 1420 ## Descrição Detecta escalação de privilégio no Linux via binários setuid vulneráveis ou módulos de kernel, frequentemente encadeada com acesso incomum a /proc/kallsyms ou /dev/kmem para mapeamento de símbolos de kernel e exploração de memória. A telemetria baseia-se em logs de auditoria que rastreiam execução de binários setuid/setgid, carregamento de módulos de kernel e acesso a interfaces de kernel sensíveis por processos de usuário não privilegiado. Essa detecção é essencial em ambientes Linux de servidor e nuvem, onde vulnerabilidades de kernel como DirtyPipe e variantes de Dirty COW são exploradas por atores de ameaça para obter acesso root e comprometer o sistema inteiro. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1548-001-setuid-and-setgid|T1548.001 — Setuid and Setgid]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1106-native-api|T1106 — Native API]] --- *Fonte: [MITRE ATT&CK — AN1420](https://attack.mitre.org/detectionstrategies/DET0514#AN1420)*