# AN0014 — Analytic 0014 ## Descrição Detecta execução de utilitários comuns renomeados (ex: `bash`, `nc`, `python`, `sh`) a partir de diretórios atípicos ou com nomes criados para enganar defensores ou soluções EDR, uma técnica usada para contornar detecções baseadas em nome de processo e allowlists. A telemetria inclui logs de execução de processos com hashes de arquivo (auditd, eBPF), análise de caminhos de execução e correlação com comportamento pós-execução como conexões de rede. Esse analítico é valioso em Linux para identificar binários trojanizados ou renomeados usados em etapas de execução e persistência de ataques avançados. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] --- *Fonte: [MITRE ATT&CK — AN0014](https://attack.mitre.org/detectionstrategies/DET0005#AN0014)*