# AN0373 — Analytic 0373 ## Descrição Detecta aquisição de bloqueio de arquivo via `open()` + `flock()` ou `lockf()` em caminho previsível (como `/tmp/.lock123`) seguida de saída antecipada condicional ou comportamento de processo divergente, indicando mecanismo anti-reinfecção de malware em Linux. A telemetria inclui auditoria de syscalls via auditd para operações de criação e bloqueio de arquivos em diretórios temporários, além de análise comportamental de processos com saída prematura atípica. Essa analítica é relevante para identificar guardrails de execução em malwares Linux que verificam a existência de instância anterior antes de prosseguir com atividade maliciosa. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1480-execution-guardrails|T1480 — Execution Guardrails]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0373](https://attack.mitre.org/detectionstrategies/DET0132#AN0373)*