det0067-detection-strategy-for-ignore-process-interrupts

# DET0067 — Detection Strategy for Ignore Process Interrupts ## Descrição A técnica de ignorar interrupções de processo (T1564.011) é utilizada por adversários em ambientes Unix/Linux para criar processos resilientes que não podem ser terminados por sinais de usuário ou de sistema operacional. Ao usar `nohup`, `disown`, `trap '' SIGTERM SIGINT SIGHUP` ou modificações equivalentes no código do malware, o atacante garante que seu processo continue em execução mesmo após logout do usuário, encerramento do terminal ou tentativas de kill por operadores de segurança. Esta estratégia de detecção monitora o uso de primitivas de ignorar sinais em contextos suspeitos: scripts shell que configuram armadilhas para ignorar SIGTERM ou SIGHUP combinados com execução de payload de rede, uso de `nohup` para lançar processos de rede em background, e configuração via `prctl(PR_SET_PDEATHSIG, 0)` em código compilado. A correlação com o comportamento subsequente do processo (conexões de rede, escrita em disco, leitura de arquivos sensíveis) aumenta a fidelidade do alerta. Em ambientes Linux de servidor e cloud, essa técnica é comum em malware de cryptomining e implantes de acesso persistente que precisam sobreviver a rotações de sessão e operações de manutenção. A presença de um processo de longa duração com sinais ignorados e tráfego de rede para IPs externos é um indicador de comprometimento de alta prioridade. ## Indicadores de Detecção - Uso de `nohup <comando_suspeito> &` em scripts não administrativos - Trap de sinais SIGTERM, SIGINT ou SIGHUP seguido de execução de payload de rede em script shell - Processo com `PR_SET_PDEATHSIG` configurado para 0 realizando conexões de saída - `disown` aplicado a processo com conexões de rede ativas - Processo sem terminal de controle (`ps` mostrando `?` na coluna TTY) com comunicação de rede persistente - Daemon não catalogado no inventário de serviços executando como root com sinais bloqueados ## Técnicas Relacionadas - [[t1564011-hide-artifacts-ignore-process-interrupts|T1564.011 — Ignore Process Interrupts]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1059004-command-and-scripting-interpreter-unix-shell|T1059.004 — Unix Shell]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] ## Analytics Relacionadas - [[an0181-analytic-0181|AN0181 — Analytic 0181]] - [[an0182-analytic-0182|AN0182 — Analytic 0182]] - [[an0183-analytic-0183|AN0183 — Analytic 0183]] --- *Fonte: [MITRE ATT&CK — DET0067](https://attack.mitre.org/detectionstrategies/DET0067)*