# AN0166 — Analytic 0166 ## Descrição Detecta ferramentas shell como curl, wget ou scp iniciando conexões para domínios externos seguidas da criação de arquivos executáveis em disco no Linux, padrão típico de download de ferramentas pelo adversário. A telemetria relevante inclui registros auditd de execução de processos de transferência de arquivos, eventos de criação de arquivo com permissões executáveis (chmod +x) e correlação com processos de linhagem incomum acessando endereços externos. Essa analítica é crítica em ambientes Linux de servidor, onde adversários frequentemente utilizam ferramentas nativas do sistema para baixar payloads secundários sem alertar soluções de segurança baseadas em assinatura. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0166](https://attack.mitre.org/detectionstrategies/DET0060#AN0166)*