det0020-detect-shell-configuration-modification-for-persistence-via-event-trigge

# DET0020 — Detect Shell Configuration Modification for Persistence via Event-Triggered Execution ## Descrição Esta estratégia detecta modificações em arquivos de configuração de shell (`.bashrc`, `.zshrc`, `.profile`, `.bash_profile`, `/etc/profile`, `/etc/bash.bashrc`) utilizadas para estabelecer persistência em sistemas Linux e macOS. Comandos maliciosos inseridos nesses arquivos são executados automaticamente em cada novo terminal ou sessão de login do usuário comprometido. A técnica é simples, eficaz e frequentemente ignorada por soluções de segurança focadas em Windows. Em ambientes de desenvolvimento e servidores Linux, onde shells são usados extensivamente, a persistência via configuração de shell pode permanecer ativa por longos períodos sem detecção. macOS também é afetado via `.zshrc` (shell padrão) e `/etc/zshenv`. A detecção requer monitoramento de integridade de arquivos (FIM) nos arquivos de configuração de shell de todos os usuários e nos arquivos globais de `/etc/`. Qualquer modificação fora de processos de gestão de configuração conhecidos (Ansible, Chef, scripts de provisionamento) deve ser alertada. ## Indicadores de Detecção - Modificação em `.bashrc`, `.zshrc`, `.profile` ou `.bash_profile` por processo não relacionado a gestão de configuração - Adição de linha de execução (ex: curl pipe bash, wget exec) em arquivo de inicialização de shell - Modificação em `/etc/profile`, `/etc/bash.bashrc` ou `/etc/zshenv` por processo não root legítimo - Arquivo de configuração de shell com timestamp de modificação recente sem correspondência com atividade de administração - Novo arquivo em `/etc/profile.d/` criado fora de janela de manutenção ou por processo inesperado ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] ## Analytics Relacionadas - [[an0059-analytic-0059|AN0059 — Analytic 0059]] - [[an0060-analytic-0060|AN0060 — Analytic 0060]] --- *Fonte: [MITRE ATT&CK — DET0020](https://attack.mitre.org/detectionstrategies/DET0020)*