det0377-detection-of-kerneluser-level-rootkit-behavior-across-platforms

# DET0377 — Detection of Kernel/User-Level Rootkit Behavior Across Platforms ## Descrição Rootkits são ferramentas de acesso encoberto projetadas para ocultar a presença do adversário no sistema comprometido, modificando o sistema operacional em nível de kernel (LKM rootkits no Linux, kernel drivers no Windows) ou de usuário (LD_PRELOAD hooking, DLL injection no Windows) para remover processos, arquivos, conexões de rede e entradas de registro da visibilidade de ferramentas de monitoramento. Rootkits avançados como [[Necurs]], [[TDL4]] (Windows) e [[Diamorphine]], [[s1219-reptile|Reptile]] (Linux) são empregados por grupos APT para manter acesso persistente e invisível por longos períodos. A detecção de rootkits é fundamentalmente desafiadora porque o próprio sistema que seria usado para detectar a ameaça foi comprometido. Abordagens eficazes incluem: análise de integridade fora de banda (boot de mídia confiável), comparação de listagens de processos/conexões via múltiplas APIs (discrepâncias entre `ps`/`/proc`, ou entre `netstat` e leitura direta de tabelas de rede do kernel), verificação de integridade de módulos kernel via checksums, e uso de hypervisors de confiança para observação do sistema hospedeiro. A estratégia correlaciona múltiplas fontes: checksums de módulos kernel contra baseline, discrepâncias entre APIs de listagem de objetos do sistema, alertas de Secure Boot sobre modificações em drivers, e comportamento de rede anômalo sem processo correspondente visível nas ferramentas padrão. ## Indicadores de Detecção - Discrepância entre listagem de processos via `ps`/Task Manager e listagem direta via `/proc` ou Win32 API - Módulo kernel (`.ko` Linux ou driver `.sys` Windows) carregado sem assinatura válida - Conexão TCP/UDP ativa sem processo correspondente em `netstat -anp` (rootkit ocultando conexão) - Arquivo existente em disco não listado por `ls`/`dir` mas acessível por path direto - Hook de syscall detectado via comparação de SSDT (Windows) ou `sys_call_table` (Linux) - `dmesg` reportando falha em verificação de integridade de módulo do kernel ## Técnicas Relacionadas - [[t1014-rootkit|T1014 — Rootkit]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1562-001-disable-or-modify-tools|T1562.001 — Disable or Modify Tools]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] ## Analytics Relacionadas - [[an1061-analytic-1061|AN1061 — Analytic 1061]] - [[an1062-analytic-1062|AN1062 — Analytic 1062]] - [[an1063-analytic-1063|AN1063 — Analytic 1063]] --- *Fonte: [MITRE ATT&CK — DET0377](https://attack.mitre.org/detectionstrategies/DET0377)*