# AN0431 — Analytic 0431 ## Descrição Detecta processos (frequentemente spawned por shell, interpretador ou implante de malware) que executam descoberta de tempo via comandos como `daté`, `timedatectl`, `hwclock`, `cat /etc/timezone` ou syscalls diretas (`time()`, `clock_gettime`), seguidos opcionalmente de criação ou modificação de tarefas agendadas (`crontab`, `at`) ou lógica de sleep condicional. A telemetria necessária inclui auditd com rastreamento de syscalls de tempo e execução de comandos, correlação de eventos de acesso a arquivos de configuração de timezone e monitoramento de modificações em crontab. Essa detecção identifica malware Linux que realiza reconhecimento temporal como precursor de execução agendada ou para sincronizar atividades maliciosas com janelas de menor visibilidade operacional. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1124-system-time-discovery|T1124 — System Time Discovery]] - [[t1053-003-scheduled-task-job-cron|T1053.003 — Cron]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0431](https://attack.mitre.org/detectionstrategies/DET0151#AN0431)*