det0253-detection-of-systemd-service-creation-or-modification-on-linux

# DET0253 — Detection of Systemd Service Creation or Modification on Linux ## Descrição Detecta criação ou modificação de unit files systemd como mecanismo de persistência em sistemas Linux. Adversários criam serviços systemd maliciosos em `/etc/systemd/system/`, `/lib/systemd/system/` ou `~/.config/systemd/user/` para garantir execução automática de payloads após reinicializações ou como parte de escalada de privilégios. Os indicadores incluem criação de arquivos `.service` em diretórios de systemd por processos não-administrativos, ativação de serviços (`systemctl enable`) imediatamente após criação, e unit files contendo `ExecStart` apontando para paths em `/tmp`, `/dev/shm` ou diretórios home de usuário. Serviços com nomes imitando serviços legítimos (ex: `sshd.service` em path não-padrão) são especialmente suspeitos. A telemetria necessária abrange auditd com regras de `WATCH` em diretórios systemd, eventos de execução de `systemctl`, inotify monitoring em `/etc/systemd/system/` e logs de journal do systemd para novos serviços ativados. ## Indicadores de Detecção - Criação de arquivo `.service` em `/etc/systemd/system/` por processo não-root ou não-package-manager - `systemctl enable` ou `systemctl start` executado por usuário sem sudo para serviços novos - Unit file com `ExecStart=/tmp/` ou `ExecStart=/dev/shm/` ou path em `/home/` - Serviço com `Restart=always` e binário não presente em whitelist de serviços aprovados - `systemctl daemon-reload` executado seguido imediatamente de ativação de serviço desconhecido - Unit file com `User=root` criado fora de processo de gerenciamento de configuração (Ansible, Chef) ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0701-analytic-0701|AN0701 — Analytic 0701]] --- *Fonte: [MITRE ATT&CK — DET0253](https://attack.mitre.org/detectionstrategies/DET0253)*