det0336-detect-compromise-of-host-software-binaries

# DET0336 — Detect Compromise of Host Software Binaries ## Descrição Esta estratégia detecta a substituição ou modificação de binários legítimos do sistema operacional e aplicações por versões comprometidas contendo código malicioso. A técnica [[T1554-compromise-client-software-binary]] permite que adversários mantenham persistência persistente, executem código privilegiado e interceptem comúnicações substituindo ferramentas confiáveis como `ssh`, `ls`, `ps`, `netstat` ou clientes de software amplamente utilizados. A detecção baseia-se em verificação de integridade de arquivos — comparando hashes de binários instalados contra baselines confiáveis do fabricante ou de instalação limpa. Soluções de FIM (File Integrity Monitoring) como Tripwire, AIDE ou o built-in de EDRs monitoram modificações em caminhos críticos do sistema. A assinatura de código e verificação de certificados digitais são camadas complementares. Esta técnica é característica de rootkits Unix e de ataques à cadeia de suprimentos de software onde o binário é comprometido upstream. Em ambientes Linux de servidores críticos no Brasil (bancos, infraestrutura), a substituição de binários de sistema é um vetor de persistência persistente frequentemente descoberto apenas durante análise forense. ## Indicadores de Detecção - Hash de binário do sistema divergindo de baseline aprovado (FIM alert) - Modificação de arquivos em `/bin`, `/sbin`, `/usr/bin`, `C:\Windows\System32` por processos não-packagemanager - Binário de sistema sem assinatura digital válida ou com certificado expirado/inválido - Tamanho de arquivo de binário do sistema diferente do pacote instalado - `rpm -V`, `dpkg --verify` ou `SFC /scannow` reportando modificações em arquivos do sistema - Timestamps de modificação de binários críticos mais recentes que a data da última atualização do sistema ## Técnicas Relacionadas - [[T1554-compromise-client-software-binary]] — técnica primária - [[t1195-supply-chain-compromise|T1195-supply-chain-compromise]] — comprometimento de cadeia de suprimentos upstream - [[t1036-masquerading|T1036-masquerading]] — binário comprometido mantém nome e aparência do legítimo - [[t1027-obfuscated-files-or-information|T1027-obfuscated-files-or-information]] — ofuscação do código malicioso inserido no binário - [[t1542-pre-os-boot|T1542-pre-os-boot]] — comprometimento de binários de inicialização pré-OS ## Analytics Relacionadas - [[an0949-analytic-0949|AN0949 — Analytic 0949]] - [[an0950-analytic-0950|AN0950 — Analytic 0950]] - [[an0951-analytic-0951|AN0951 — Analytic 0951]] - [[an0952-analytic-0952|AN0952 — Analytic 0952]] --- *Fonte: [MITRE ATT&CK — DET0336](https://attack.mitre.org/detectionstrategies/DET0336)*