det0216-detection-strategy-for-lcloaddylib-modification-in-mach-o-binaries-on-ma

# DET0216 — Detection Strategy for LC_LOAD_DYLIB Modification in Mach-O Binaries on macOS ## Descrição Esta estratégia detecta injeção de dylib em binários Mach-O no macOS via modificação do load command `LC_LOAD_DYLIB` — mapeada para [[T1574.004 — Dylib Hijacking]] e [[T1195 — Supply Chain Compromise]]. Adversários modificam binários legítimos adicionando ou alterando comandos de carregamento de biblioteca dinâmica para forçar o processo a carregar uma dylib maliciosa antes das bibliotecas legítimas, executando código arbitrário no contexto do processo comprometido. A detecção combina análise estática de binários Mach-O e monitoramento dinâmico de carregamento de bibliotecas. O comando `otool -l <binário> | grep LC_LOAD_DYLIB` revela todas as bibliotecas que serão carregadas. Binários assinados com `LC_LOAD_DYLIB` apontando para caminhos não incluídos no bundle assinado violam a integridade de código e devem acionar alerta. Ferramentas como `codesign -v` detectam a violação. O analytics AN0607 foca em: binário com load command adicionado recentemente (comparação com baseline), `LC_LOAD_DYLIB` apontando para path fora do bundle de aplicação ou `/usr/lib/`, falha de verificação de assinatura de código em binário previamente assinado, e carregamento de dylib de `~/Library/` ou `/tmp/` por aplicação de sistema. ## Indicadores de Detecção - Binário Mach-O com `LC_LOAD_DYLIB` adicionado após criação original do arquivo - `codesign -v <binário>` retornando erro de verificação de assinatura em binário previamente válido - Dylib carregada de `~/Library/Application Support/` por processo de sistema ou aplicação sem bundle próprio - `LC_LOAD_DYLIB` em binário assinado apontando para path não incluído no signing bundle - Hash de binário de aplicação alterado em relação ao hash pré-instalação - `dyld` logs mostrando carregamento de dylib de `/tmp/` ou path de usuário por processo privilegiado - Binário de aplicação conhecida (ex: `/Applications/Zoom.app`) com seção `__TEXT` modificada ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an0607-analytic-0607|AN0607 — Analytic 0607]] --- *Fonte: [MITRE ATT&CK — DET0216](https://attack.mitre.org/detectionstrategies/DET0216)*