# AN0025 — Analytic 0025 ## Descrição Detecta alterações de configuração em inotify ou auditd que monitoram arquivos de sistema, acopladas à execução de interpretadores de scripts ou binários por cron ou temporizadores systemd, indicando possível abuso de mecanismos de monitoramento para persistência ou execução automatizada. A telemetria provém de logs de auditoria do sistema (auditd), eventos systemd/journald e correlação entre modificações de configuração de monitoramento e execução subsequente de processos. Esse analítico é importante para detectar adversários que manipulam ferramentas de monitoramento nativas do Linux para criar gatilhos de execução ou evadir auditoria. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0025](https://attack.mitre.org/detectionstrategies/DET0010#AN0025)*