# AN0479 — Analytic 0479 ## Descrição Detecta shell scripts ou binários que utilizam múltiplos comandos do sistema em rápida sucessão — como `dmidecode`, `lscpu` e `lspci` — para identificar ambiente de virtualização. A telemetria inclui logs de execução de processos via auditd, syslog e eventos de acesso a arquivos de hardware virtual como `/proc/cpuinfo`. Malware sofisticado no Linux frequentemente realiza fingerprinting de ambiente antes de executar sua carga útil, sendo essa analítica essencial para detecção precoce de amostras evasivas. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1057-process-discovery|T1057 — Process Discovery]] --- *Fonte: [MITRE ATT&CK — AN0479](https://attack.mitre.org/detectionstrategies/DET0168#AN0479)*