# AN0067 — Analytic 0067 ## Descrição Correlaciona execução de binários ELF com segmentos de memória graváveis de alta entropia e padrões de código automodificável, indicando desempacotamento em tempo de execução de malware empacotado em ambientes Linux. A telemetria inclui análise de memória via eBPF/uprobes, dados de EDR para execução de código em regiões de memória rwx (read-write-execute) e análise de entropia de seções ELF. Esse analítico é relevante para servidores Linux onde malware empacotado como mineradores de criptomoeda e backdoors de botnet frequentemente utilizam técnicas de unpacking em memória para ocultar seus payloads reais de scanners estáticos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN0067](https://attack.mitre.org/detectionstrategies/DET0023#AN0067)*