# AN0120 — Analytic 0120 ## Descrição Detecta comandos que acessam configurações de locale, fuso horário ou idioma como locale, timedatectl ou leitura de /etc/timezone, com foco em execuções anômalas por usuários incomuns ou scripts de automação. A telemetria abrange logs do auditd para execuções de comando, correlação com usuário efetivo (euid) e contexto de processo pai, e alertas quando essas consultas são realizadas por daemons de sistema ou contas de serviço sem justificativa operacional. Este analítico detecta a fase de evasão de malware que verifica a localização geográfica do sistema para decidir se deve ou não ativar seu payload, técnica comum em ransomware que evita infectar sistemas em regiões específicas. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1614-system-location-discovery|T1614 — System Location Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0120](https://attack.mitre.org/detectionstrategies/DET0043#AN0120)*