# AN0361 — Analytic 0361 ## Descrição Detecta invocação suspeita de utilitários GUI ou scripts com opções de janela suprimidas ou redirecionadas em Linux, incluindo chamadas X11 ou Wayland que criam janelas sem exibição em monitores ativos, bem como uso de `nohup`, `screen` ou `tmux` para mascarar shells interativas. A telemetria inclui eventos de criação de processos, análise de argumentos de linha de comando e monitoramento de sessões de display server. Essa analítica é relevante porque adversários que mantêm acesso interativo a sistemas Linux frequentemente usam multiplexadores de terminal e sessões desanexadas para operar de forma discreta sem ocupar sessões de terminal visíveis. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0361](https://attack.mitre.org/detectionstrategies/DET0128#AN0361)*