det0203-detection-strategy-for-ptrace-based-process-injection-on-linux

# DET0203 — Detection Strategy for Ptrace-Based Process Injection on Linux ## Descrição Esta estratégia detecta injeção de processo via syscall `ptrace` no Linux — mapeada para [[T1055.008 — Ptrace System Calls]]. O `ptrace` é a interface primária de debugging no Linux, permitindo que um processo inspecione e modifique a memória e registradores de outro processo. Adversários e malware de Linux exploram `ptrace` para injetar shellcode em processos legítimos em execução, esconder payload malicioso e elevar privilégios. A detecção monitora chamadas `ptrace(PTRACE_ATTACH, ...)` e `ptrace(PTRACE_POKETEXT, ...)` por processos não-debuggers em contexto de produção. Auditoria de syscalls via `auditd` com regras para `ptrace` é a fonte de telemetria primária — regras como `-a always,exit -F arch=b64 -S ptrace -k process_injection` capturam toda chamada ptrace com contexto de processo e usuário. O analytics AN0579 correlaciona: processo não-listado como debugger fazendo `ptrace(PTRACE_ATTACH)` a processo de outro usuário ou de sistema, seguido de chamadas de escrita de memória (`PTRACE_POKETEXT`, `PTRACE_POKEDATA`). A captura de syscalls via eBPF ou auditd com análise de comportamento pós-inject (comportamento anômalo do processo-alvo) aumenta a fidelidade. ## Indicadores de Detecção - Syscall `ptrace(PTRACE_ATTACH, <pid>)` por processo que não é `gdb`, `strace` ou `lldb` - `ptrace(PTRACE_POKETEXT, ...)` ou `ptrace(PTRACE_POKEDATA, ...)` seguido de `PTRACE_CONT` - Processo com `CAP_SYS_PTRACE` capability fazendo attach a processo de usuário diferente - `PTRACE_SETOPTIONS` com flags `PTRACE_O_TRACEFORK` indicando rastreamento de processos filho - Processo de script (`bash`, `python`) invocando `ptrace` via ctypes ou chamada direta de syscall - `/proc/<pid>/mem` aberto com flag de escrita por processo não-root ou não-debugger - Mudança repentina de comportamento de processo legítimo após ter sido alvo de `ptrace attach` ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1106-native-api|T1106 — Native API]] ## Analytics Relacionadas - [[an0579-analytic-0579|AN0579 — Analytic 0579]] --- *Fonte: [MITRE ATT&CK — DET0203](https://attack.mitre.org/detectionstrategies/DET0203)*