# AN0325 — Analytic 0325 ## Descrição Detecta criação ou modificação de unidades de serviço `systemd` ou cron jobs com nomes enganosos e caminhos de comando não confiáveis, frequentemente seguidos de atividade de rede lateral ou escalação de privilégios. A telemetria inclui eventos de modificação de arquivos em `/etc/systemd/`, `/etc/cron.d/` e diretórios de usuário, além de criação de processos filhos suspeitos. Essa analítica é importante porque adversários em Linux frequentemente abusam do systemd para persistência furtiva, nomeando serviços maliciosos de forma semelhante a serviços legítimos do sistema. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0325](https://attack.mitre.org/detectionstrategies/DET0117#AN0325)*