det0110-setuidsetgid-privilege-abuse-detection-linuxmacos

# DET0110 — Setuid/Setgid Privilege Abuse Detection (Linux/macOS) ## Descrição Esta estratégia detecta abuso dos bits setuid/setgid em Linux e macOS para escalada de privilégios. Quando um binário tem o bit setuid ativado, ele executa com os privilégios do proprietário do arquivo (frequentemente root) independentemente de quem o executa. Adversários exploram binários setuid vulneráveis existentes (GTFOBins como `find -exec`, `vim`, `python`) ou instalam novos binários setuid root para criar backdoors de escalada persistentes. Os indicadores primários incluem: auditd eventos de chamadas `chmod`/`fchmod` ativando setuid (`AUE_CHMOD` com modo incluindo bit `04000`), criação de novos arquivos com setuid bit em diretórios gravados por usuário não-root, e execução de binários conhecidos do GTFOBins em contexto suspeito. O comando `find / -perm -4000 -type f` executado por usuário não-root é indicativo de descoberta de binários setuid para possível abuso. A estratégia também cobre abuso de setgid para acesso a recursos de grupo privilegiado (ex: `shadow` para leitura de `/etc/shadow`). Auditd com regras `-a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F exit=0` é a fonte de telemetria principal. Em containers, execução de binários setuid pode indicar tentativa de escape se o container não estiver usando user namespaces. Adversários em campanhas de Linux targeting como [[g0106-rocke]] e grupos de cryptomining utilizam setuid para persistência de escalada. ## Indicadores de Detecção - `chmod +s` ou `chmod 4755` em arquivos por usuário não-root (auditd syscall audit) - Novo arquivo com permissões setuid (`-rwsr-xr-x`) em diretórios gravados por usuário (`/tmp`, `/var/tmp`, home dirs) - Execução de `find / -perm -4000` por usuário não-root (reconhecimento de binários setuid) - Binários do GTFOBins com setuid (`python`, `perl`, `vim`, `find`, `bash`) executados com argumentos de shell ou command execution - Modificação de binários existentes com setuid para substituir por versão maliciosa - Container executando processo setuid sem configuração de user namespace (indicativo de tentativa de escape) ## Técnicas Relacionadas - [[t1548001-setuid-and-setgid]] — Técnica principal - [[t1548-abuse-elevation-control-mechanism]] — Categoria pai - [[t1574-hijack-execution-flow]] — Hijacking de execução via binário substituído - [[t1059004-unix-shell]] — Shell obtida via exploração de setuid - [[t1611-escape-to-host]] — Escape de container via setuid ## Analytics Relacionadas - [[an0307-analytic-0307|AN0307 — Analytic 0307]] - [[an0308-analytic-0308|AN0308 — Analytic 0308]] --- *Fonte: [MITRE ATT&CK — DET0110](https://attack.mitre.org/detectionstrategies/DET0110)*