det0018-behavior-chain-platform-aware-detection-strategy-for-t1129-shared-module

# DET0018 — Behavior-chain, platform-aware detection strategy for T1129 Shared Modules ## Descrição Esta estratégia detecta o carregamento de módulos compartilhados maliciosos (DLLs no Windows, shared objects `.so` no Linux, dylibs no macOS) utilizados para execução de código dentro do espaço de endereçamento de processos legítimos. Atacantes utilizam `LoadLibrary`, `dlopen` e equivalentes para carregar código malicioso de forma que herda o contexto de segurança e reputação do processo hospedeiro. A abordagem de cadeia comportamental considera a sequência completa: criação do módulo em disco → carregamento via API → execução de código no contexto do processo hospedeiro → comportamento pós-carregamento (rede, acesso a arquivos, criação de processos). Cada elo da cadeia, isoladamente, pode ser legítimo — a combinação é o sinal relevante. Em Windows, a telemetria inclui eventos de imagem de módulo carregado (Sysmon Event ID 7), chamadas à API `LoadLibrary` monitoradas por EDR, e verificação de assinatura de módulos carregados. Em Linux/macOS, `LD_PRELOAD` e `DYLD_INSERT_LIBRARIES` são vetores adicionais a monitorar. ## Indicadores de Detecção - Módulo sem assinatura digital carregado em processo de alta reputação (lsass, svchost, explorer) - DLL carregada via `LoadLibrary` a partir de diretório temporário ou de usuário por processo de sistema - Módulo com nome imitando DLL legítima do sistema carregado de caminho não padrão - `LD_PRELOAD` definido em variável de ambiente de processo que não deveria utilizá-lo - Módulo carregado imediatamente seguido de conexão de rede ou criação de processo filho suspeito ## Técnicas Relacionadas - [[t1129-shared-modules|T1129 — Shared Modules]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] ## Analytics Relacionadas - [[an0052-analytic-0052|AN0052 — Analytic 0052]] - [[an0053-analytic-0053|AN0053 — Analytic 0053]] - [[an0054-analytic-0054|AN0054 — Analytic 0054]] --- *Fonte: [MITRE ATT&CK — DET0018](https://attack.mitre.org/detectionstrategies/DET0018)*