det0004-detection-strategy-for-hijack-execution-flow-using-path-interception-by-

# DET0004 — Detection Strategy for Hijack Execution Flow using Path Interception by PATH Environment Variable. ## Descrição Esta estratégia detecta o sequestro de fluxo de execução via manipulação da variável de ambiente `PATH`. O atacante insere um diretório controlado no início do `PATH` contendo um executável com o mesmo nome de uma ferramenta legítima do sistema (ex: `net`, `ping`, `python`). Quando o processo-alvo invoca a ferramenta pelo nome sem caminho absoluto, o binário malicioso é carregado no lugar do legítimo. A técnica é especialmente eficaz em scripts de administração, pipelines de CI/CD e processos agendados que não usam caminhos absolutos. Em ambientes Linux/macOS, diretórios world-writable como `/tmp` ou subdiretórios de home são os vetores mais comuns. A detecção requer monitoramento de modificações em variáveis de ambiente de processos críticos, auditoria de execução de binários com metadados incompatíveis (assinatura, hash, caminho) e alertas para execução de binários a partir de diretórios temporários ou não padrão. ## Indicadores de Detecção - Processo executado a partir de `/tmp`, `%TEMP%`, ou diretório home do usuário com mesmo nome de utilitário do sistema - Modificação da variável `PATH` de processo pai antes de spawn de processo filho - Binário sem assinatura digital ou com hash diferente do binário legítimo correspondente - Execução de binário a partir de diretório inserido no início do `PATH` por processo de alta privilegiação - Script de shell ou batch que altera `PATH` e em seguida invoca ferramenta pelo nome curto ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an0009-analytic-0009|AN0009 — Analytic 0009]] - [[an0010-analytic-0010|AN0010 — Analytic 0010]] - [[an0011-analytic-0011|AN0011 — Analytic 0011]] --- *Fonte: [MITRE ATT&CK — DET0004](https://attack.mitre.org/detectionstrategies/DET0004)*