det0062-detection-strategy-for-disable-or-modify-linux-audit-system

# DET0062 — Detection Strategy for Disable or Modify Linux Audit System ## Descrição O sistema de auditoria do Linux (`auditd`) é uma das principais fontes de telemetria para detecção de atividade maliciosa em servidores e estações Linux. Adversários com acesso privilegiado frequentemente tentam desabilitar ou modificar as regras de auditoria para suprimir a geração de logs antes de executar operações sensíveis, como escalonamento de privilégios, exfiltração de dados ou instalação de backdoors. Esta estratégia de detecção monitora tentativas de parar o serviço `auditd`, remover ou substituir arquivos de regras em `/etc/audit/`, alterar configurações via `auditctl` com parâmetros que reduzem o escopo de coleta, ou modificar permissões de arquivos de log. Também cobre tentativas de manipular o buffer de auditoria ou desabilitar módulos do kernel responsáveis pela instrumentação de chamadas de sistema. A correlação entre a desabilitação do subsistema de auditoria e atividades suspeitas subsequentes (execução de ferramentas de pós-exploração, modificação de arquivos críticos) é um sinal forte de comprometimento ativo. Grupos APT que operam em ambientes Linux, como [[g0016-apt29]] e atores de ransomware direcionados a servidores, utilizam essa técnica para manter sigilo durante o movimento lateral. ## Indicadores de Detecção - Execução de `systemctl stop auditd`, `service auditd stop` ou `pkill auditd` - Modificação ou exclusão de arquivos em `/etc/audit/rules.d/` ou `/etc/audit/audit.rules` - Uso de `auditctl -D` (limpar todas as regras) ou `-e 0` (desabilitar auditoria) - Alteração de permissões em `/var/log/audit/audit.log` - Carga ou remoção de módulos do kernel relacionados ao subsistema de auditoria (`kauditd`) - Processos com capacidade `CAP_AUDIT_CONTROL` executados por usuários não administrativos ## Técnicas Relacionadas - [[t1562001-impair-defenses-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] - [[t1562006-impair-defenses-indicator-blocking|T1562.006 — Indicator Blocking]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1059004-command-and-scripting-interpreter-unix-shell|T1059.004 — Unix Shell]] ## Analytics Relacionadas - [[an0171-analytic-0171|AN0171 — Analytic 0171]] --- *Fonte: [MITRE ATT&CK — DET0062](https://attack.mitre.org/detectionstrategies/DET0062)*