# AN0517 — Analytic 0517 ## Descrição Este analítico detecta processos `scp`, `rsync`, `curl`, `sftp` ou `ftp` iniciando transferências para sistemas internos combinados com eventos de criação de arquivos em diretórios incomuns, correlacionando a atividade de transferência com a execução subsequente desses binários. A telemetria inclui auditd para chamadas de sistema de rede e criação de arquivos, logs de SSH, eventos de execução de processos e alertas de integridade de arquivos em diretórios sensíveis. Esse padrão é característico da fase de transferência lateral de ferramentas em ataques Linux, onde adversários movem implantes ou utilitários para sistemas adicionais comprometidos. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0517](https://attack.mitre.org/detectionstrategies/DET0183#AN0517)*