# AN0312 — Analytic 0312 ## Descrição Esta analítica detecta alterações ou execução de scripts de inicialização de shell como `.bashrc`, `.profile` ou `/etc/profile` para estabelecer persistência no Linux. A telemetria inclui logs de auditd para operações de escrita em arquivos de inicialização de shell de usuário e do sistema, além de monitoramento de integridade de arquivo (FIM) para esses caminhos críticos. A detecção é importante pois a modificação de arquivos de inicialização de shell é técnica de persistência muito comum em comprometimentos de servidor Linux, garantindo que código malicioso sejá executado a cada abertura de sessão shell pelo usuário comprometido. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] - [[t1037-004-rc-scripts|T1037.004 — RC Scripts]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0312](https://attack.mitre.org/detectionstrategies/DET0112#AN0312)*