det0218-detection-strategy-for-hijack-execution-flow-across-os-platforms

# DET0218 — Detection Strategy for Hijack Execution Flow across OS platforms ## Descrição Esta estratégia detecta sequestro do fluxo de execução de processos em múltiplas plataformas — mapeada para [[T1574 — Hijack Execution Flow]]. Esta é uma estratégia de cobertura ampla que endereça múltiplas sub-técnicas de hijacking em Windows, Linux e macOS: DLL Search Order Hijacking (Windows), LD_PRELOAD Injection (Linux), dylib hijacking (macOS), PATH variable hijacking, e abuso de dynamic linker em todos os sistemas. A detecção é baseada em três pilares: monitoramento de integridade de bibliotecas (FIM em diretórios de DLL/dylib/SO), análise de variáveis de ambiente que afetam o carregamento de bibliotecas (`LD_PRELOAD`, `DYLD_INSERT_LIBRARIES`, ordem de PATH), e correlação de carregamento de biblioteca com contexto de processo e localização. A estratégia é especialmente relevante para detectar persistência sofisticada que sobrevive a atualizações de software. Três analytics cobrem plataformas: Windows (DLL hijacking via search order + side-loading), Linux (`LD_PRELOAD` e `LD_LIBRARY_PATH` suspeitos + SO de caminho anômalo), e macOS (`DYLD_INSERT_LIBRARIES` em ambiente de produção + dylib de path não-esperado). A combinação com [[det0201-detection-strategy-for-hijack-execution-flow-for-dlls]] proporciona cobertura completa do vetor de DLL hijacking. ## Indicadores de Detecção - Variável `LD_PRELOAD` definida em ambiente de processo em produção Linux apontando para SO não-padrão - `DYLD_INSERT_LIBRARIES` presente em ambiente de processo macOS fora de contexto de desenvolvimento - DLL, dylib ou .so carregada por processo legítimo de caminho de usuário ou temporário - PATH de sistema modificado para incluir diretório controlável por usuário antes de `/usr/bin` ou `C:\Windows\System32` - Biblioteca carregada sem assinatura válida em processo que normalmente carrega apenas libs assinadas - Modificação de `/etc/ld.so.preload` ou `/etc/ld.so.conf.d/` por processo não-root - Hash de biblioteca de sistema alterado em relação ao baseline de pacote instalado ## Técnicas Relacionadas - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] ## Analytics Relacionadas - [[an0609-analytic-0609|AN0609 — Analytic 0609]] - [[an0610-analytic-0610|AN0610 — Analytic 0610]] - [[an0611-analytic-0611|AN0611 — Analytic 0611]] --- *Fonte: [MITRE ATT&CK — DET0218](https://attack.mitre.org/detectionstrategies/DET0218)*