# AN0385 — Analytic 0385 ## Descrição Detecta processos que invocam comandos destrutivos (`dd`, `shred`, `wipe`) com alvos de dispositivo raw (como `/dev/sda`, `/dev/nvme0n1`), bem como escritas diretas em partições de disco e modificações anômalas de superbloco ou bootloader. A telemetria inclui auditoria de syscalls via auditd, monitoramento de execução de comandos com argumentos de dispositivo raw e alertas de I/O de bloco em nível de kernel. Essa analítica é crítica em servidores Linux porque wipers como HermeticWiper e AcidRain usam exatamente esses padrões para destruir dados de forma irrecuperável em ataques de sabotagem e guerras cibernéticas. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0385](https://attack.mitre.org/detectionstrategies/DET0137#AN0385)*