det0152-detection-strategy-for-hijack-execution-flow-dylib-hijacking

# DET0152 — Detection Strategy for Hijack Execution Flow: Dylib Hijacking ## Descrição Esta estratégia detecta o hijacking de dylibs (dynamic libraries) no macOS (T1574.004), onde adversários colocam uma biblioteca maliciosa em um caminho de busca prioritário para que sejá carregada ao invés da dylib legítima por um processo privilegiado. O macOS usa `DYLD_LIBRARY_PATH`, `@rpath`, `@loader_path` e `@executable_path` para resolver dylibs, criando oportunidades de hijacking quando diretórios com permissão de escrita para usuários comuns estão antes dos caminhos do sistema. A técnica é análoga ao DLL hijacking do Windows e é utilizada para escalar privilégios ou ganhar persistência no macOS. Aplicações assinadas que referênciam dylibs ausentes (weakly linked) em caminhos graváveis por usuário são especialmente vulneráveis. Malwares macOS como XCSSET e algumas variantes de adware exploram este mecanismo. A telemetria inclui monitoramento de `dyld` via `DYLD_PRINT_LIBRARIES` (em ambientes de análise), FSEvents para criação de arquivos `.dylib` em diretórios de busca comuns (`/usr/local/lib`, `~/Library/`), logs de codesign para carregamento de biblioteca sem assinatura válida em processo assinado, e EDR macOS (Jámf Protect, CrowdStrike Falcon) para eventos de carregamento de dylib. A verificação de integridade via `codesign -v` e `spctl` é complementar. ## Indicadores de Detecção - Arquivo `.dylib` criado em `~/Library/Frameworks/` ou `/usr/local/lib/` por processo não-instalador - Processo assinado carregando dylib não assinada ou com assinatura de desenvolvedor diferente - `DYLD_INSERT_LIBRARIES` configurado no ambiente de processos não-interativos - Dylib com mesmo nome de framework de sistema localizada em caminho de usuário com prioridade maior - FSEvent de criação de `.dylib` em diretório do aplicativo `Contents/Frameworks/` por processo externo ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1055-process-injection|T1055 — Process Injection]] ## Analytics Relacionadas - [[an0435-analytic-0435|AN0435 — Analytic 0435]] --- *Fonte: [MITRE ATT&CK — DET0152](https://attack.mitre.org/detectionstrategies/DET0152)*