# AN0041 — Analytic 0041 ## Descrição Detecta atividade de script ou usuário copiando arquivos para um diretório central /tmp ou /mnt seguida de utilitários de arquivo/compressão, indicando preparação para exfiltração de dados coletados em sistemas Linux. A telemetria inclui auditd com monitoramento de syscalls de cópia e criação de arquivo, execução de comandos tar, gzip, zip ou similares em diretórios temporários e análise de volume de dados manipulados. Esse analítico é relevante para detectar a fase de staging antes de exfiltração em servidores Linux comprometidos, onde dados de múltiplas origens são consolidados antes de serem transferidos para infraestrutura controlada pelo adversário. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1074-data-staged|T1074 — Data Staged]] - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0041](https://attack.mitre.org/detectionstrategies/DET0014#AN0041)*