det0237-detection-strategy-for-boot-or-logon-initialization-scripts-rc-scripts

# DET0237 — Detection Strategy for Boot or Logon Initialization Scripts: RC Scripts ## Descrição Esta estratégia detecta o abuso de RC scripts (run commands) em sistemas Unix/Linux para persistência através de inicialização do sistema ou login de usuário. Arquivos como `/etc/rc.local`, `/etc/rc.d/*`, `/etc/profile.d/` e `~/.bashrc` são modificados por adversários para garantir execução de backdoors em cada boot ou sessão de login. Scripts de inicialização são alvos clássicos de persistência por serem executados com privilégios elevados e raramente modificados em produção. Adversários inserem chamadas a scripts maliciosos, downloads de payloads ou comandos de shell reversa nessas localizações. A detecção se baseia em monitorar modificações não autorizadas nesses arquivos críticos. A telemetria necessária inclui auditd com regras para monitorar escrita em `/etc/rc*`, `/etc/profile*`, `~/.bashrc`, `~/.profile`, e `~/.bash_profile`; File Integrity Monitoring (FIM) nos caminhos de inicialização; e logs de processo para identificar execuções anômalas durante boot. ## Indicadores de Detecção - Modificação de `/etc/rc.local` ou `/etc/rc.d/` por processo não pertencente a gestão de configuração - Inserção de linha em `~/.bashrc` ou `~/.profile` contendo `curl`, `wget`, `nc` ou caminho de executável em `/tmp` - Novo arquivo em `/etc/profile.d/` criado fora de processo de deployment - Script em `/etc/init.d/` sem correspondência no histórico de pacotes instalados (`dpkg -l` / `rpm -qa`) - Execução de processo a partir de script de inicialização conectando a IP externo durante boot - Arquivo de inicialização com timestamp de modificação incompatível com data do último deploy ## Técnicas Relacionadas - [[T1037.004-rc-scripts|T1037.004 — RC Scripts]] - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] ## Analytics Relacionadas - [[an0658-analytic-0658|AN0658 — Analytic 0658]] - [[an0659-analytic-0659|AN0659 — Analytic 0659]] - [[an0660-analytic-0660|AN0660 — Analytic 0660]] - [[an0661-analytic-0661|AN0661 — Analytic 0661]] --- *Fonte: [MITRE ATT&CK — DET0237](https://attack.mitre.org/detectionstrategies/DET0237)*