# AN0416 — Analytic 0416 ## Descrição Detecta processos de contêiner executando operações destrutivas de arquivos dentro de montagens de volume ou caminhos do host, incluindo `rm -rf /mnt/volumes/` e tentativas de evasão de contêiner seguidas de deleção no host. A telemetria necessária inclui logs de runtime de contêiner (containerd, Docker daemon), monitoramento de chamadas de sistema via Falco ou eBPF para rastrear operações de arquivo destrutivas e eventos de montagem de volume. Essa detecção é relevante em ambientes Kubernetes e de microsserviços, onde contêineres comprometidos com acesso a volumes persistentes ou ao namespace do host podem causar destruição de dados que afeta múltiplos serviços. **Plataformas:** Containers --- ## Técnicas Relacionadas - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1611-escape-to-host|T1611 — Escape to Host]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1490-inhibit-system-recovery|T1490 — Inhibit System Recovery]] --- *Fonte: [MITRE ATT&CK — AN0416](https://attack.mitre.org/detectionstrategies/DET0146#AN0416)*