# AN0200 — Analytic 0200 ## Descrição Detecta abuso do `systemctl` para executar comandos ou gerenciar serviços systemd, correlacionando criação ou modificação suspeita de serviço com execução de subcomandos `systemctl` como start, enable ou status, especialmente quando serviços são carregados de locais incomuns (ex.: `/tmp`, `/dev/shm`) ou novas unidades de serviço são criadas fora de fluxos administrativos esperados. A telemetria inclui registros auditd de execução de `systemctl` com análise dos argumentos de linha de comando, monitoramento de criação de arquivo em diretórios de unidade systemd (`/etc/systemd/system/`, `/lib/systemd/system/`) e correlação com execução de processos a partir de serviços recém-criados. Essa analítica é essencial para detectar persistência via systemd em servidores Linux, uma técnica cada vez mais popular entre grupos de ameaças avançadas e operadores de ransomware que buscam garantir que seus implantes sobrevivam a reinicializações do sistema. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0200](https://attack.mitre.org/detectionstrategies/DET0073#AN0200)*