# AN0211 — Analytic 0211 ## Descrição Detecta abuso de ambientes Mono/.NET Core para executar scripts semelhantes a VB, frequentemente em ambientes com emulação de Office ou WINE, com foco em invocações raras de hosts de scripting como `mono.exe` ou shells .NET, geralmente encontrados em laboratórios de filtragem de spam ou análise forense com suporte a Office. A telemetria inclui auditd para execuções de `mono` ou `dotnet` com análise de argumentos, rastreamento de processos filhos iniciados por esses runtimes e acesso a arquivos de script ou DLLs em caminhos de execução incomuns. Essa analítica detecta uma superfície de ataque incomum mas significativa em servidores Linux onde ambientes de compatibilidade Windows são instalados, onde adversários podem portar e executar scripts maliciosos originalmente desenvolvidos para o ecossistema Windows sem modificações substanciais. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0211](https://attack.mitre.org/detectionstrategies/DET0076#AN0211)*