det0450-detection-strategy-for-kernel-modules-and-extensions-autostart-execution

# DET0450 — Detection Strategy for Kernel Modules and Extensions Autostart Execution ## Descrição Módulos de kernel (LKM no Linux, kexts no macOS, drivers no Windows) são componentes que executam com os mais altos privilégios do sistema e se carregam automaticamente durante a inicialização. Adversários exploram esse mecanismo para estabelecer persistência de altíssima furtividade: um módulo de kernel malicioso pode ocultar processos, arquivos e conexões de rede do sistema operacional, tornando práticamente invisível a presença do atacante para ferramentas de segurança operando em espaço de usuário. No Linux, módulos maliciosos são frequentemente adicionados a `/etc/modules`, `/etc/modules-load.d/` ou diretamente carregados via `insmod`. No macOS, extensões de kernel (kexts) não assinadas podem ser carregadas em versões mais antigas ou via SIP bypass. No Windows, drivers não assinados podem ser carregados via BYOVD (Bring Your Own Vulnerable Driver) para escalar privilégios e depois instalar rootkits. A detecção requer monitoramento de eventos de carregamento de módulos de kernel, verificação de integridade de módulos carregados contra uma lista de módulos aprovados (allowlist), análise de modificações em arquivos de configuração de autocarregamento e alertas sobre uso de ferramentas de injeção de driver como `kdmapper` ou `drvmap`. ## Indicadores de Detecção - Carregamento de módulo de kernel (`insmod`, `modprobe`) com módulo não presente na allowlist de módulos aprovados - Novo arquivo `.ko` (Linux) ou `.kext` (macOS) criado em diretório de módulos por processo não-instalador - Modificação de `/etc/modules`, `/etc/modules-load.d/` ou arquivos de configuração equivalentes - Driver Windows carregado sem assinatura válida ou com assinatura revogada - Execução de `kdmapper`, `drvmap` ou ferramentas BYOVD conhecidas - Evento auditd `audit_module_load` com nome de módulo desconhecido ou de path incomum ## Técnicas Relacionadas - [[T1547006-kernel-modules-and-extensions|T1547.006 — Kernel Modules and Extensions]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1055-process-injection|T1055 — Process Injection]] ## Analytics Relacionadas - [[an1243-analytic-1243|AN1243 — Analytic 1243]] - [[an1244-analytic-1244|AN1244 — Analytic 1244]] --- *Fonte: [MITRE ATT&CK — DET0450](https://attack.mitre.org/detectionstrategies/DET0450)*