# AN0332 — Analytic 0332 ## Descrição Detecta acesso a arquivos de mídia seguido da execução de scripts (bash, Python, etc.) que referênciam esses mesmos arquivos, ou tráfego de saída disparado logo após a leitura do arquivo, correlacionando uso incomum de ferramentas como `steghide`, `exiftool` ou bibliotecas de processamento de imagens. A telemetria inclui auditoria de acesso a arquivos via auditd, criação de processos e análise de tráfego de rede. Essa analítica é relevante porque steganografia em Linux é cada vez mais usada por campanhas de espionagem para ocultar comúnicações de C2 e exfiltrar dados dentro de arquivos de imagem comuns. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0332](https://attack.mitre.org/detectionstrategies/DET0119#AN0332)*