# AN0059 — Analytic 0059 ## Descrição Detecta modificação de scripts de inicialização/encerramento de shell como ~/.bashrc, ~/.bash_profile ou /etc/profile, seguida de execução anômala de processos ou conexões de rede ao fazer login em shell interativo ou remoto, indicando persistência via configuração de shell. A telemetria inclui auditd com monitoramento de escrita em arquivos de configuração de shell de usuários, análise de conexões de rede disparadas por login de usuário e correlação com execução de processos filhos do shell. Esse analítico detecta uma técnica de persistência comum em Linux onde adversários inserem comandos nos arquivos de inicialização de shell para garantir execução de código malicioso a cada nova sessão de terminal. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN0059](https://attack.mitre.org/detectionstrategies/DET0020#AN0059)*