# AN0466 — Analytic 0466 ## Descrição Detecta comportamento adversarial onde os argumentos de linha de comando de um processo em execução são sobrescritos na memória para falsificar o nome do processo, substituindo-o por uma string benigna ou enganosa, correlacionando sequências inesperadas de bytes nulos, discrepâncias entre `/proc/<pid>/cmdline` e ancestralidade do processo e escritas de memória suspeitas logo após o início do processo. A telemetria necessária inclui auditd com monitoramento de chamadas de sistema de escrita de memória de processo, ferramentas de EDR baseadas em eBPF que comparam cmdline em tempo de execução com argumentos originais de criação de processo e análise de anomalias de processo via procfs. Essa detecção é importante para identificar malware e implantes de APT em Linux que usam falsificação de nome de processo para se disfarçar de processos legítimos do sistema (como kworker, systemd ou sshd) durante análises manuais de processos em execução. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1564-010-hide-artifacts-process-argument-spoofing|T1564.010 — Process Argument Spoofing]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN0466](https://attack.mitre.org/detectionstrategies/DET0164#AN0466)*