det0073-detection-strategy-for-system-services-systemctl

# DET0073 — Detection Strategy for System Services: Systemctl ## Descrição O `systemctl` é a interface principal para gerenciamento de serviços em sistemas Linux modernos baseados em `systemd`. Adversários com acesso privilegiado utilizam `systemctl` para criar novos serviços maliciosos (T1543.002), garantindo persistência que sobrevive a reinicializações do sistema. A criação de unit files em `/etc/systemd/system/`, `/lib/systemd/system/` ou no diretório de usuário (`~/.config/systemd/user/`) permite execução automatizada de payloads com o nível de privilégio configurado na unit. Esta estratégia de detecção monitora a criação e habilitação de novos serviços systemd fora de contextos de instalação de pacotes legítimos: criação de arquivos `.service` em diretórios do systemd por processos não relacionados a gerenciadores de pacotes (`apt`, `yum`, `dnf`, `rpm`), uso de `systemctl enable` ou `systemctl start` para serviços não catalogados, e unit files com `ExecStart` apontando para executáveis em diretórios não padrão (`/tmp`, `/var/tmp`, diretórios home). Em ambientes de servidor Linux e cloud, implantes de acesso persistente com frequência se registram como serviços systemd com nomes que imitam serviços legítimos (`systemd-networkd.service`, `polkit.service`). A análise do conteúdo da unit file — especialmente campos `ExecStart`, `User`, `Restart` e `After` — combinada com a verificação de assinatura do binário referênciado, é fundamental para distinguir serviços legítimos de maliciosos. ## Indicadores de Detecção - Criação de arquivo `.service` em `/etc/systemd/system/` por processo diferente de gerenciador de pacotes - `systemctl enable` ou `systemctl daemon-reload` executado por usuário não root ou não admin - Unit file com `ExecStart` apontando para binário em `/tmp`, `/var/tmp`, `/dev/shm` ou diretório home - Serviço com nome similar a serviços do sistema (`systemd-*`, `dbus-*`) mas com binário diferente - `systemctl start` executado imediatamente após criação de unit file — indicando instalação manual - Unit file com `Restart=always` e `RestartSec` baixo para processo de rede não catalogado ## Técnicas Relacionadas - [[t1543002-create-or-modify-system-process-systemd-service|T1543.002 — Systemd Service]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1059004-command-and-scripting-interpreter-unix-shell|T1059.004 — Unix Shell]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an0200-analytic-0200|AN0200 — Analytic 0200]] --- *Fonte: [MITRE ATT&CK — DET0073](https://attack.mitre.org/detectionstrategies/DET0073)*