# AN0393 — Analytic 0393 ## Descrição Detecta exclusão de arquivos suspeitos (payloads, executáveis temporários, scripts) via `rm`, `unlink` ou ferramentas de exclusão segura como `shred`, especialmente quando realizada por usuários inesperados ou logo após a execução. A telemetria inclui auditoria de syscalls de exclusão via auditd, correlação temporal entre eventos de execução e exclusão de arquivo e análise de usuário/processo responsável pela exclusão. Essa analítica é relevante para detectar cobertura de rastros em ambientes Linux, onde adversários rotineiramente excluem droppers, ferramentas de exploração e evidências de acesso logo após atingir seus objetivos para dificultar a investigação forense. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0393](https://attack.mitre.org/detectionstrategies/DET0140#AN0393)*