# AN0046 — Analytic 0046 ## Descrição Detecta tentativas de adversários de monopolizar o controle de sistemas comprometidos emitindo comandos de parada de serviço, descarregamento de módulos vulneráveis ou encerramento forçado de processos concorrentes, monitorando logs de auditoria e syslog para utilitários administrativos (systemctl, service, kill) invocados fora de janelas normais de gerenciamento de mudanças. A telemetria inclui logs de auditoria do sistema (auditd), journal do systemd e análise de contexto temporal para identificar invocações de ferramentas administrativas fora de horários ou usuários esperados. Esse analítico detecta técnicas de eliminação de concorrentes (competitor cleanup) usadas por botnets e operadores de ransomware que visam monopolizar acesso ao sistema comprometido. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1489-service-stop|T1489 — Service Stop]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0046](https://attack.mitre.org/detectionstrategies/DET0015#AN0046)*