# AN0140 — Analytic 0140 ## Descrição Detecta adversários que gravam ou movem payloads para diretórios configurados como exclusão de AV/EDR no Linux, como /tmp, /var/lib, ou diretórios customizados definidos nas regras de exclusão do auditd. A telemetria abrange logs do auditd para monitorar criação de arquivo em caminhos correspondentes a exclusões conhecidas correlacionadas com processos pai incomuns, análise de regras de exclusão de soluções AV/EDR como CrowdStrike Falcon ou ESET, e alertas para modificações recentes nessas configurações de exclusão. Este analítico é importante porque adversários que obtêm acesso a sistemas de segurança podem adicionar exclusões personalizadas para proteger seus implantes de detecção por soluções baseadas em host. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1074-data-staged|T1074 — Data Staged]] --- *Fonte: [MITRE ATT&CK — AN0140](https://attack.mitre.org/detectionstrategies/DET0051#AN0140)*