# AN0238 — Analytic 0238 ## Descrição Detecta uso suspeito de utilitários shell ou scripts que decodificam ou descriptografam um payload e o executam sem gravar em disco, cobrindo a execução sem arquivo no Linux onde o código malicioso é decodificado diretamente em memória ou passado via pipe para execução. A telemetria inclui auditd para execuções de `base64`, `openssl enc` ou similares com saída redirecionada para shell ou `bash -c`, análise de pipes entre ferramentas de decodificação e interpretadores de shell e correlação com atividade de rede ou acesso a arquivos sensíveis pelo processo resultante. Essa analítica detecta técnicas de execução sem arquivo em Linux que combinam decodificação em linha com execução via shell, padrão comum em scripts de dropper e stagers de frameworks de C2 multiplataforma que buscam minimizar artefatos em disco para dificultar análise forense. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN0238](https://attack.mitre.org/detectionstrategies/DET0087#AN0238)*