det0435-detection-strategy-for-hijack-execution-flow-dynamic-linker-hijacking

# DET0435 — Detection Strategy for Hijack Execution Flow: Dynamic Linker Hijacking ## Descrição O Dynamic Linker Hijacking abusa dos mecanismos de carregamento de bibliotecas dinâmicas do sistema operacional para forçar a execução de código malicioso quando um programa legítimo carrega uma dependência. No Linux, as variáveis de ambiente `LD_PRELOAD` e `LD_LIBRARY_PATH` permitem específicar bibliotecas que são carregadas antes das dependências padrão, permitindo que um adversário interponha funções maliciosas entre o programa e a libc. No macOS, `DYLD_INSERT_LIBRARIES` funciona de forma equivalente. Além de variáveis de ambiente, a criação de arquivos `/etc/ld.so.preload` no Linux ou a colocação de bibliotecas maliciosas em diretórios com precedência maior na ordem de busca do linker (`/etc/ld.so.conf.d/`) são técnicas persistentes que sobrevivem a reinicializações. No macOS, a proteção SIP (System Integrity Protection) mitiga o abuso de `DYLD_INSERT_LIBRARIES` para processos protegidos, mas processos de terceiros permanecem vulneráveis. Adversários usam esse mecanismo para injetar keyloggers em processos de terminal (capturando senhas digitadas), interceptar chamadas de criptografia, ou executar código privilegiado no contexto de processos setuid. A detecção envolve monitoramento de modificações em `/etc/ld.so.preload`, leitura de variáveis de ambiente suspeitas por processos de sistema, e criação de arquivos de configuração do linker por usuários sem privilégios. ## Indicadores de Detecção - Modificação ou criação do arquivo `/etc/ld.so.preload` por processo não-root ou não relacionado a atualizações de sistema - Processo iniciado com variável de ambiente `LD_PRELOAD` ou `DYLD_INSERT_LIBRARIES` definida por processo pai suspeito - Criação de arquivos `.so` ou `.dylib` em diretórios de bibliotecas do sistema por processo de usuário comum - Adição de entrada em `/etc/ld.so.conf.d/` apontando para diretório de usuário - Auditd: syscall `execve` com parâmetro de ambiente contendo `LD_PRELOAD` seguido de processo privilegiado ## Técnicas Relacionadas - [[T1574006-dynamic-linker-hijacking|T1574.006 — Dynamic Linker Hijacking]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] - [[T1548003-sudo-and-sudo-caching|T1548.003 — Sudo and Sudo Caching]] - [[t1056-input-capture|T1056 — Input Capture]] ## Analytics Relacionadas - [[an1209-analytic-1209|AN1209 — Analytic 1209]] - [[an1210-analytic-1210|AN1210 — Analytic 1210]] --- *Fonte: [MITRE ATT&CK — DET0435](https://attack.mitre.org/detectionstrategies/DET0435)*