# AN0181 — Analytic 0181 ## Descrição Detecta execução de processos utilizando `nohup` ou redirecionamento de shell para ignorar o sinal SIGHUP e continuar em execução após o encerramento da sessão, correlacionando comandos com `nohup`, jobs em segundo plano com `disown` ou sufixo `&` com execução de processo persistente após a saída do terminal pai. A telemetria inclui registros auditd de execuções de `nohup` e comandos `disown`, análise da árvore de processos para identificar processos órfãos sem TTY associado e logs de autenticação correlacionando sessões de login com atividade de processo persistente. Essa analítica é relevante para detectar mecanismos de persistência simples em Linux onde adversários garantem que seus processos continuem executando mesmo após o fechamento da sessão SSH, técnica comumente usada em ataques de mineração de criptomoedas e backdoors leves. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0181](https://attack.mitre.org/detectionstrategies/DET0067#AN0181)*