det0258-linux-python-startup-hook-persistence-via-pth-and-customize-files-t15460

# DET0258 — Linux Python Startup Hook Persistence via .pth and Customize Files (T1546.018) ## Descrição Esta estratégia detecta o abuso de arquivos `.pth` (path configuration) e `usercustomize.py`/`sitecustomize.py` do Python para persistência em sistemas Linux. Esses arquivos são processados automaticamente pelo interpretador Python na inicialização, permitindo execução de código arbitrário sempre que Python é invocado — o que ocorre frequentemente em pipelines DevOps e ambientes de desenvolvimento. Arquivos `.pth` em diretórios `site-packages` podem conter linhas prefixadas com `import` que executam código arbitrário. O arquivo `usercustomize.py` no diretório home do usuário é igualmente processado na inicialização do interpretador. Adversários com acesso de escrita ao ambiente Python do sistema podem implantar código persistente executado silenciosamente em cada invocação. A telemetria requer monitoramento de escrita em diretórios `site-packages`, alertas para criação ou modificação de `usercustomize.py` ou `sitecustomize.py`, e File Integrity Monitoring em caminhos de configuração Python. ## Indicadores de Detecção - Criação ou modificação de arquivo `.pth` em diretório `site-packages` com linha `import` não vazia - Arquivo `usercustomize.py` ou `sitecustomize.py` criado por processo não pertencente a gerenciador de pacotes - Código Python executado automaticamente na inicialização do interpretador de origem desconhecida - Processo Python realizando conexão de rede de saída sem script explicitamente invocado pelo usuário - Arquivo `.pth` contendo chamadas a `os.system()` ou `subprocess` para execução de comandos externos - Modificação de `PYTHONPATH` ou `PYTHONSTARTUP` em arquivos de perfil de shell sem justificativa ## Técnicas Relacionadas - [[T1546.018-python-startup-hooks|T1546.018 — Python Startup Hooks]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[T1059.006-python|T1059.006 — Python]] - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] - [[T1195.001-compromise-software-dependencies|T1195.001 — Compromise Software Dependencies]] ## Analytics Relacionadas - [[an0713-analytic-0713|AN0713 — Analytic 0713]] --- *Fonte: [MITRE ATT&CK — DET0258](https://attack.mitre.org/detectionstrategies/DET0258)*