# AN0114 — Analytic 0114 ## Descrição Detecta a remoção de artefatos de persistência no Linux, incluindo entradas de crontab, unidades de serviço systemd e contas de usuário maliciosas, através de comandos como crontab -r, rm /etc/systemd/system/*.service ou userdel. A telemetria inclui logs do auditd para chamadas de sistema unlink, rename e execve, monitoramento de modificações em diretórios de serviço systemd, e correlação com atividade de shell interativo anterior que criou os artefatos. Este analítico detecta a fase de cobertura de rastros de um atacante após completar seus objetivos, sendo especialmente relevante para identificar grupos APT que implantam e depois removem backdoors como parte de operações de espionagem furtiva. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1136-create-account|T1136 — Create Account]] --- *Fonte: [MITRE ATT&CK — AN0114](https://attack.mitre.org/detectionstrategies/DET0040#AN0114)*