det0052-behavioral-detection-strategy-for-abuse-of-sudo-and-sudo-caching

# DET0052 — Behavioral Detection Strategy for Abuse of Sudo and Sudo Caching ## Descrição Esta estratégia detecta o abuso do mecanismo `sudo` em sistemas Linux e macOS para escalonamento de privilégios e execução de comandos com permissões elevadas. Adversários exploram configurações permissivas em `/etc/sudoers`, o período de cache de credenciais do sudo (padrão de 15 minutos), e vulnerabilidades históricas do sudo para obter acesso root sem conhecer a senha do root diretamente. Alinhada a [[T1548.003-abuse-elevation-control-mechanism-sudo-and-sudo-caching]], a técnica inclui: abuso de entradas NOPASSWD no sudoers, exploração do timestamp de cache para executar comandos elevados durante a janela de autenticação de outro usuário, uso de `sudo -l` para enumerar permissões disponíveis, e modificação do arquivo sudoers para adicionar permissões maliciosas. Em ambientes de nuvem e contêineres Linux, o sudo é frequentemente configurado de forma excessivamente permissiva. A detecção deve monitorar execuções incomuns via `sudo` — especialmente por usuários que raramente o utilizam, execuções noturnas, comandos que escrevem em diretórios do sistema, ou leitura de `/etc/sudoers` por processos não-privilegiados. A correlação com atividade de escalonamento de privilégios posterior é essencial para confirmar intenção maliciosa. ## Indicadores de Detecção - Execução de `sudo -l` por usuário que raramente usa sudo, especialmente em horários incomuns - Modificação de `/etc/sudoers` ou arquivos em `/etc/sudoers.d/` por processo não-root - Uso de `sudo` para executar intérpretes de script (`bash`, `python`, `perl`) com entrada interativa - Exploração de timestamp de sudo: execução de sudo dentro de 15 minutos após outra autenticação sudo em sessão diferente - Adição de entrada `NOPASSWD: ALL` em sudoers para conta recém-criada ## Técnicas Relacionadas - [[T1548.003-abuse-elevation-control-mechanism-sudo-and-sudo-caching]] — técnica primária detectada - [[t1548-abuse-elevation-control-mechanism|T1548-abuse-elevation-control-mechanism]] — categoria pai de escalonamento de privilégios - [[T1078.003-valid-accounts-local-accounts]] — uso de contas locais para acesso sudo - [[T1222.002-file-and-directory-permissions-modification-linux-and-mac-file-and-directory-permissions-modification]] — modificação de permissões via sudo - [[T1543.002-create-or-modify-system-process-systemd-service]] — criação de serviços via sudo ## Analytics Relacionadas - [[an0142-analytic-0142|AN0142 — Analytic 0142]] - [[an0143-analytic-0143|AN0143 — Analytic 0143]] --- *Fonte: [MITRE ATT&CK — DET0052](https://attack.mitre.org/detectionstrategies/DET0052)*