# AN0328 — Analytic 0328 ## Descrição Correlaciona acesso de rede de entrada a serviços Linux expostos (SSHD, SMB, NFS, bancos de dados ou daemons customizados) com travamentos, geração de core dumps ou criação de shells e reverse shells a partir do contexto do serviço, indicando exploração remota. A telemetria utilizada inclui logs de syslog/auditd, eventos de criação de processos do kernel e dumps de falha de aplicação. Essa analítica é essencial para ambientes Linux expostos, pois a exploração de daemons remotos é a principal rota de comprometimento de servidores por grupos como UNC e APT sofisticados. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1210-exploitation-of-remote-services|T1210 — Exploitation of Remote Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0328](https://attack.mitre.org/detectionstrategies/DET0118#AN0328)*