det0448-detection-strategy-for-vdso-hijacking-on-linux

# DET0448 — Detection Strategy for VDSO Hijacking on Linux ## Descrição O VDSO (Virtual Dynamic Shared Object) é uma região de memória mapeada pelo kernel Linux em todos os processos em espaço de usuário, fornecendo acesso acelerado a chamadas de sistema frequentes como `gettimeofday` e `clock_gettime` sem a necessidade de transição para modo kernel. Adversários com capacidade de escrita em memória de kernel podem modificar o código do VDSO para inserir backdoors que são executados por todos os processos do sistema, representando uma forma extremamente persistente e difícil de detectar de comprometimento. O hijacking do VDSO permite execução de código em contexto de qualquer processo sem a necessidade de injeção de processo convencional, tornando a detecção por técnicas tradicionais de monitoramento de processos ineficaz. Essa técnica é característica de rootkits de nível de kernel e foi documentada em ataques sofisticados contra infraestrutura Linux, incluindo servidores de alto valor e sistemas embarcados. A detecção requer monitoramento de integridade da região de memória VDSO (comparação de hash periódica), alertas sobre escrita em espaço de memória de kernel por módulos não autorizados, e detecção de carregamento de módulos de kernel suspeitos que possam ter capacidade de modificar o VDSO. Ferramentas de auditoria de integridade de kernel como `integrity_inode` e LKRG (Linux Kernel Runtime Guard) são relevantes. ## Indicadores de Detecção - Carregamento de módulo de kernel (`insmod`, `modprobe`) com hash não correspondente a módulos do pacote oficial - Modificação detectada na região de memória mapeada como VDSO em comparação com baseline de integridade - Processo com escrita em endereço de memória de kernel (`/dev/mem`, `/dev/kmem`) por usuário não-root - Evento auditd de carregamento de módulo de kernel não listado em allowlist de módulos aprovados - Uso de `ptrace` com operação `PTRACE_POKEDATA` em endereço correspondente à região VDSO de outro processo - Anomalia de temporização em chamadas de sistema aceleradas via VDSO (indicando execução de código adicional) ## Técnicas Relacionadas - [[T1055014-vdso-hijacking|T1055.014 — VDSO Hijacking]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] ## Analytics Relacionadas - [[an1241-analytic-1241|AN1241 — Analytic 1241]] --- *Fonte: [MITRE ATT&CK — DET0448](https://attack.mitre.org/detectionstrategies/DET0448)*