# AN0467 — Analytic 0467 ## Descrição Detecta comportamento adversarial de limpeza de histórico de comandos via `history -c`, deleção ou modificação de `~/.bash_history` ou manipulação da variável de ambiente `HISTFILE` após login. A telemetria necessária inclui auditd com rastreamento de acesso e modificação de arquivos de histórico de shell, monitoramento de definição de variáveis de ambiente relacionadas ao histórico (como `HISTSIZE=0` ou `HISTFILE=/dev/null`) e alertas para sessões com histórico ausente ou apagado após atividade intensa. Essa detecção é essencial para identificar adversários em Linux que realizam limpeza de rastros como parte do processo de anti-forense, buscando dificultar investigações de resposta a incidentes após a intrusão. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1070-003-indicator-removal-clear-command-history|T1070.003 — Clear Command History]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0467](https://attack.mitre.org/detectionstrategies/DET0165#AN0467)*