det0390-linux-detection-strategy-for-t1547013-xdg-autostart-entries

# DET0390 — Linux Detection Strategy for T1547.013 - XDG Autostart Entries ## Descrição O padrão XDG (X Desktop Group) define como aplicações devem ser iniciadas automaticamente em sessões de desktop Linux (GNOME, KDE, XFCE, etc.), utilizando arquivos `.desktop` nos diretórios `~/.config/autostart/` (por usuário) e `/etc/xdg/autostart/` (global). Esses arquivos específicam executáveis a serem iniciados quando o ambiente gráfico de usuário é carregado. Adversários com acesso ao sistema de arquivos do usuário podem criar arquivos `.desktop` maliciosos que executam payloads persistentes toda vez que o usuário abre uma sessão gráfica, sem necessidade de privilégios root para o vetor por usuário. Essa técnica é eficaz em workstations Linux corporativas e sistemas de desenvolvedor onde usuários trabalham em ambientes gráficos. Um arquivo `.desktop` malicioso com `Exec=/tmp/.updaté_agent` e `Name=System Updaté` aparecerá como entrada legítima de inicialização. Combinada com [[T1059004-unix-shell]] para obtenção de acesso inicial, essa técnica garante persistência furtiva em ambientes Linux de desktop. Malware direcionado a workstations Linux de desenvolvedores e pesquisadores de segurança documentadamente usa esse mecanismo. A detecção monitora criação e modificação de arquivos `.desktop` em diretórios de autostart, verifica o campo `Exec=` dos arquivos em busca de referências a binários em caminhos não-padrão, e correlaciona com processos recentemente criados nesses caminhos. ## Indicadores de Detecção - Criação de arquivo `.desktop` em `~/.config/autostart/` ou `/etc/xdg/autostart/` por processo não-instalador - Campo `Exec=` em arquivo `.desktop` apontando para binário em `/tmp`, `/var/tmp` ou diretório home do usuário - Arquivo `.desktop` com campo `Hidden=false` e `Name` imitando software legítimo do sistema - Modificação de arquivo `.desktop` existente para alterar campo `Exec=` - Processo executado com PAI correspondente a gerenciador de sessão gráfica (`gnome-session`, `xfce4-session`) com binário de path incomum - Hash de arquivos `.desktop` em `/etc/xdg/autostart/` diferente do baseline do pacote instalado ## Técnicas Relacionadas - [[T1547013-xdg-autostart-entries|T1547.013 — XDG Autostart Entries]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[T1059004-unix-shell|T1059.004 — Unix Shell]] - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] ## Analytics Relacionadas - [[an1096-analytic-1096|AN1096 — Analytic 1096]] --- *Fonte: [MITRE ATT&CK — DET0390](https://attack.mitre.org/detectionstrategies/DET0390)*