# AN0174 — Analytic 0174 ## Descrição Detecta execução de Python a partir de contextos de usuário não padronizados ou jobs cron que iniciam tráfego de saída, acessam arquivos sensíveis ou realizam injeção de processo (ex.: via ptrace ou mapeamentos de memória `/proc`). A telemetria inclui registros auditd de execuções de Python com UID/GID incomuns, acesso a `/proc/[pid]/mem` ou chamadas de sistema ptrace, e logs de rede correlacionando o processo Python com conexões externas. Essa analítica é crucial em servidores Linux porque jobs cron são frequentemente utilizados como mecanismos de persistência ocultos, e o uso de Python nesses contextos pode indicar implantes de longa duração ou ferramentas de coleta contínua de dados. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0174](https://attack.mitre.org/detectionstrategies/DET0063#AN0174)*