# AN0241 — Analytic 0241 ## Descrição Esta analítica detecta o uso de ferramentas de linha de comando (`find`, `grep`, `ls`, `dpkg`, `rpm`, `systemctl`, `ps aux`) para descobrir agentes de backup ou arquivos de configuração como rsnapshot, duplicity e veeam. A telemetria utilizada inclui logs de execução de processos e relações pai-filho envolvendo shells ou scripts Python que realizam buscas recursivas em `/etc/`, `/opt/` ou `/var/` com palavras-chave como `backup`. Este comportamento é relevante para a detecção porque adversários frequentemente mapeiam soluções de backup antes de ataques de ransomware ou destruição de dados. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0241](https://attack.mitre.org/detectionstrategies/DET0088#AN0241)*