det0369-detection-strategy-for-event-triggered-execution-via-trap-t1546005

# DET0369 — Detection Strategy for Event Triggered Execution via Trap (T1546.005) ## Descrição O comando `trap` em shells Unix/Linux/macOS permite definir handlers para sinais de sistema, possibilitando que adversários registrem código malicioso que executa automaticamente em resposta a eventos específicos como encerramento de sessão (`EXIT`), interrupção do usuário (`SIGINT`), término de processo filho (`SIGCHLD`) ou outros sinais POSIX. Essa técnica fornece persistência leve e furtiva em ambientes Linux/macOS, especialmente em scripts de shell, arquivos de configuração de ambiente (`.bashrc`, `.bash_profile`, `.zshrc`) e scripts de inicialização de serviços. O abuso de `trap` para persistência é particularmente eficaz porque: não cria processos filhos visíveis até o momento do trigger, os handlers são carregados junto com o script de inicialização legítimo, e as ferramentas tradicionais de análise de processos não revelam os handlers registrados sem inspeção direta dos scripts. Adversários frequentemente combinam `trap EXIT` com downloads de payloads ou execução de scripts de C2, garantindo reexecução toda vez que uma sessão de shell é encerrada. A detecção requer análise de conteúdo de arquivos de configuração de shell em busca de comandos `trap`, monitoramento de criação e modificação de `.bashrc`/`.bash_profile`, e alertas sobre execução de comandos dentro de handlers trap que estabeleçam conexões de rede ou executem binários de diretórios temporários. ## Indicadores de Detecção - Presença de `trap` com comandos de rede (`curl`, `wget`, `nc`) em arquivos `.bashrc`, `.zshrc` ou `.profile` - Modificação de arquivos de inicialização de shell (`/etc/profile`, `~/.bash_profile`) por processos não-interativos - Handler `trap EXIT` registrando execução de binários em `/tmp` ou diretórios de usuário - Criação de scripts shell com comandos `trap` em diretórios de inicialização do sistema - Execução de comandos através de handlers `trap SIGTERM` em processos de longa duração - Anomalia: processo executado como consequência de sinal de sistema sem processo pai correspondente ## Técnicas Relacionadas - [[T1546005-trap|T1546.005 — Trap]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[T1059004-unix-shell|T1059.004 — Unix Shell]] - [[T1037004-rc-scripts|T1037.004 — RC Scripts]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] ## Analytics Relacionadas - [[an1038-analytic-1038|AN1038 — Analytic 1038]] - [[an1039-analytic-1039|AN1039 — Analytic 1039]] --- *Fonte: [MITRE ATT&CK — DET0369](https://attack.mitre.org/detectionstrategies/DET0369)*