# AN0227 — Analytic 0227 ## Descrição Detecta execução de binários confiáveis do sistema Linux (ex.: `split`, `tee`, `bash`, `env`) em sequências incomuns ou comportamentos encadeados para executar payloads maliciosos ou realizar ações inconsistentes com o comportamento normal de sistema ou script, equivalente Linux do abuso de LOLBins. A telemetria inclui auditd para execuções dessas ferramentas com análise de argumentos fora do padrão normal (ex.: `bash -c` decodificando base64, `env` com variáveis contendo payloads), análise de linhagem de processos para identificar cadeias de execução anômalas e correlação com atividade de rede ou acesso a arquivos sensíveis. Essa analítica é relevante porque o Linux possui um rico ecossistema de utilitários do sistema que podem ser encadeados para executar payloads sem utilizar ferramentas externas, tornando ataques sem arquivo particularmente difíceis de detectar em ambientes que não implementam monitoramento comportamental abrangente. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0227](https://attack.mitre.org/detectionstrategies/DET0081#AN0227)*