det0375-detection-strategy-for-t1546017-udev-rules-linux

# DET0375 — Detection Strategy for T1546.017 - Udev Rules (Linux) ## Descrição O `udev` é o gerenciador de dispositivos do kernel Linux responsável por lidar com eventos de hardware e criar nós de dispositivo em `/dev`. Regras udev (arquivos `.rules` em `/etc/udev/rules.d/` e `/lib/udev/rules.d/`) são processadas quando dispositivos são conectados ou quando eventos de hardware ocorrem, permitindo a execução de programas arbitrários via a diretiva `RUN+=`. Adversários com acesso root podem criar regras udev maliciosas que executam payloads persistentes toda vez que qualquer evento de hardware ocorre (conexão USB, mudança de estado de rede, eventos de bateria em laptops). Essa técnica de persistência é especialmente eficaz em servidores Linux e ambientes de contêiner porque: sobrevive a reinicializações, é raramente monitorada por ferramentas de segurança focadas em processos e cron, e pode ser acionada por eventos cotidianos (reconexão de rede, montagem de volume) sem interação humana. A diretiva `RUN+=` executa o comando como root no contexto do evento udev, fornecendo privilégios elevados automaticamente. Malware de servidor Linux recente como [[Orbit]] e rootkits avançados utilizam udev para persistência. A detecção monitora criação e modificação de arquivos em diretórios de regras udev, analisa o conteúdo das regras em busca da diretiva `RUN+=` com comandos externos, e correlaciona eventos de execução de processos disparados pelo contexto `udevd`. ## Indicadores de Detecção - Criação ou modificação de arquivos `.rules` em `/etc/udev/rules.d/` ou `/run/udev/rules.d/` - Regra udev contendo `RUN+="/path/to/script"` com script em diretório não-padrão - Arquivo de regra udev criado fora de processo de gerenciamento de pacotes (apt/yum) - Processo iniciado com PPID correspondente ao `udevd` que estabelece conexão de rede - Regra udev com `SUBSYSTEM=="net"` ou `ACTION=="add"` executando comandos shell - Hash de arquivo `.rules` diferente do registrado no baseline do sistema ## Técnicas Relacionadas - [[T1546017-udev-rules|T1546.017 — Udev Rules]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[T1059004-unix-shell|T1059.004 — Unix Shell]] - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] ## Analytics Relacionadas - [[an1056-analytic-1056|AN1056 — Analytic 1056]] --- *Fonte: [MITRE ATT&CK — DET0375](https://attack.mitre.org/detectionstrategies/DET0375)*