# AN0397 — Analytic 0397 ## Descrição Detecta execução baseada em scripts de loops de sleep ou comandos de atraso de tempo (como `sleep`, atraso via `ping` ou `while-loops`) seguidos de criação de arquivos ou conexões de rede. A telemetria inclui auditoria de execução de scripts via auditd, análise de padrões de temporização em processos de shell e correlação com eventos de rede ou criação de arquivo subsequentes. Essa analítica é relevante para identificar droppers e implantes Linux que usam atrasos deliberados para evadir sandboxes de análise dinâmica e regras de detecção comportamental com janela de tempo limitada. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1480-execution-guardrails|T1480 — Execution Guardrails]] --- *Fonte: [MITRE ATT&CK — AN0397](https://attack.mitre.org/detectionstrategies/DET0141#AN0397)*