# AN0499 — Analytic 0499 ## Descrição Este analítico detecta comprometimentos via drive-by no Linux, correlacionando fetches de navegador ou webview para domínios incomuns ou recursos JS mutados (via logs de proxy/NGFW e Zeek/HTTP) com execução inesperada de interpretadores (python, ruby, sh) originados de processos de navegador, staging de arquivos em `/tmp` e conexões de saída anômalas similares a C2. A telemetria inclui logs de proxy, eventos de rede Zeek, auditd para chamadas de sistema e monitoramento de processos filhos de sessões de usuário-browser. Esse encadeamento de sinais é crítico para detectar explorações de browser em Linux que visam servidores de desenvolvimento ou workstations de engenheiros. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1189-drive-by-compromise|T1189 — Drive-by Compromise]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN0499](https://attack.mitre.org/detectionstrategies/DET0176#AN0499)*