# AN0356 — Analytic 0356 ## Descrição Detecta adversários que soltam binários renomeados em diretórios incomuns (como `/tmp` e `/dev/shm`) ou usam caracteres especiais em nomes de arquivo (espaço final, Únicode RLO), seguidos de execução ou registro em cronjob logo após a entrega. A telemetria inclui auditoria de criação de arquivos em diretórios temporários, detecção de nomes de arquivo com caracteres Únicode suspeitos e correlação com execução de processos subsequente. Essa analítica é relevante porque `/tmp` e `/dev/shm` são destinos clássicos de dropper em ataques a servidores Linux, frequentemente usados para contornar monitoria baseada em diretórios de sistema. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0356](https://attack.mitre.org/detectionstrategies/DET0127#AN0356)*