# AN0261 — Analytic 0261 ## Descrição Esta analítica detecta o uso incomum de `cron` ou loops `sleep` dentro de containers executando scripts ou binários não familiares repetidamente. A telemetria inclui logs de runtime de container (Docker/containerd), eventos de criação de processos dentro do namespace e alertas de segurança de orquestração como Falco. A detecção é relevante pois containers comprometidos frequentemente estabelecem persistência via loops de execução periódica, técnica usada por mineradores de criptomoeda e backdoors em ambientes Kubernetes mal configurados. **Plataformas:** Containers --- ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1496-resource-hijacking|T1496 — Resource Hijacking]] --- *Fonte: [MITRE ATT&CK — AN0261](https://attack.mitre.org/detectionstrategies/DET0094#AN0261)*