# AN0279 — Analytic 0279 ## Descrição Esta analítica detecta a invocação de interpretadores `lua` ou `luajit` por usuários ou serviços fora dos pacotes esperados, encadeada com queda de script ou artefatos de memória suspeitos. A telemetria inclui logs de auditd para execução de binários Lua fora de caminhos de sistema esperados e rastreamento de syscalls de criação de arquivo correlacionados. A detecção é relevante pois interpreters de scripting como Lua são frequentemente abusados em ambientes Linux para executar payloads sem gravar arquivos binários identificáveis no disco, técnica conhecida como living-off-the-land scripting. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0279](https://attack.mitre.org/detectionstrategies/DET0101#AN0279)*