# AN0512 — Analytic 0512 ## Descrição Este analítico detecta stored procedures SQL no Linux que invocam comandos em nível de OS via equivalentes de `xp_cmdshell` ou mecanismos de UDF (User-Defined Functions), como é possível em MySQL/MariaDB e PostgreSQL. A telemetria inclui logs de query do banco de dados (slow query log, general log), auditd para syscalls de criação de processos filhos do processo de banco de dados, e logs de syslog para execuções inesperadas por usuários de serviço como `mysql` ou `postgres`. Esse vetor é crítico em ambientes Linux onde servidores de banco de dados correm sob contas com permissões excessivas no sistema operacional. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1505-server-software-component|T1505 — Server Software Component]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0512](https://attack.mitre.org/detectionstrategies/DET0181#AN0512)*