# AN0092 — Analytic 0092 ## Descrição Detecta a criação de arquivos ou diretórios com ponto inicial (.) em diretórios privilegiados do Linux como /etc, /var e /usr/bin, característica que os torna ocultos na listagem padrão do sistema. A telemetria é baseada em logs do auditd monitorando chamadas de sistema creat, open e mkdir onde o nome começa com '.' em caminhos privilegiados, correlacionados com contexto incomum de usuário ou processo. Este analítico é importante porque arquivos ocultos em diretórios do sistema são uma técnica clássica de persistência e ocultação de ferramentas utilizadas por implantes como rootkits e backdoors em ambientes Linux comprometidos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0092](https://attack.mitre.org/detectionstrategies/DET0032#AN0092)*