# DET0351 — Unix-like File Permission Manipulation Behavioral Chain Detection Strategy ## Descrição Esta estratégia de detecção em cadeia detecta manipulação de permissões de arquivo em sistemas Unix/Linux/macOS como parte de sequências de ataque — chmod/chown em binários do sistema, manipulação de permissões para persistência, ou habilitação de execução em arquivos maliciosos recém criados. A técnica [[t1222-file-and-directory-permissions-modification|T1222-file-and-directory-permissions-modification]] em Unix é frequentemente um elo em cadeias de comprometimento mais amplas. A abordagem de cadeia comportamental correlaciona múltiplos eventos: criação de arquivo → chmod +x → execução, ou modificação de permissões de arquivo de sistema seguida de execução anômala. Isoladamente, `chmod` é benigno; correlacionado com criação de arquivo suspeito ou em caminhos de sistema, é sinal de atividade maliciosa. Em servidores Linux de infraestrutura crítica brasileira, a manipulação de permissões de arquivos em `/etc/cron.d/`, `/etc/init.d/`, `/usr/local/bin/` ou em scripts de shell de sistema é um indicador relevante de persistência pós-comprometimento que deve ser monitorado via auditd. ## Indicadores de Detecção - `chmod +x` aplicado a arquivo recém criado em `/tmp`, `/var/tmp`, `/dev/shm` por processo não-root - `chmod 4755` (SUID bit) aplicado a binário não-padrão por conta de usuário - `chown root` em arquivo de usuário comum seguido de execução do arquivo - Modificação de permissões em arquivos de cron (`/etc/cron.d/`, `/var/spool/cron/`) por usuário não-root - Auditd syscall `fchmod` ou `chmod` em paths de sistema (`/usr/bin`, `/etc`) por processo suspeito - Sequência: download de arquivo via curl/wget → chmod +x → execução imediata ## Técnicas Relacionadas - [[t1222-file-and-directory-permissions-modification|T1222-file-and-directory-permissions-modification]] — técnica primária - [[T1222.002-linux-and-mac-file-and-directory-permissions-modification]] — sub-técnica Unix específica - [[T1548.001-setuid-setgid]] — abuso de SUID habilitado via chmod - [[T1053.003-cron]] — persistência via cron que pode requerer manipulação de permissões - [[T1070.002-clear-linux-or-mac-system-logs]] — remoção de evidências das operações chmod ## Analytics Relacionadas - [[an0998-analytic-0998|AN0998 — Analytic 0998]] - [[an0999-analytic-0999|AN0999 — Analytic 0999]] --- *Fonte: [MITRE ATT&CK — DET0351](https://attack.mitre.org/detectionstrategies/DET0351)*