# AN0128 — Analytic 0128 ## Descrição Detecta a execução de comandos para enumerar arquivos ou processos relacionados à virtualização no Linux, como leitura de /sys/class/dmi/id/product_name, uso de dmesg, lscpu ou lspci, ou consulta a interfaces de hypervisor antes da execução de malware. A telemetria inclui logs do auditd para monitorar acesso aos arquivos de DMI e execução de utilitários de hardware, correlação com processos que executam essas verificações fora de contexto de diagnóstico legítimo, e análise de sequência de execução para identificar o padrão de fingerprinting seguido de atividade maliciosa. Este analítico é importante para detectar malware Linux que evita análise em ambientes de virtualização comuns usados por sandboxes e plataformas de análise automatizada. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1614-system-location-discovery|T1614 — System Location Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0128](https://attack.mitre.org/detectionstrategies/DET0046#AN0128)*