# AN0541 — Analytic 0541 ## Descrição Este analítico detecta o anti-malware colocando em quarentena ou sinalizando uma ferramenta no Linux, seguido pela criação de um novo binário com função ou nome similar e retomada da cadeia de processos. A telemetria inclui alertas de solução de segurança Linux (ClamAV, Falco, EDR), eventos auditd de criação de arquivos após quarentena, logs de processo e hashes de arquivo para correlacionar a atividade pré e pós-quarentena. Essa resposta adaptativa a detecções indica adversários com capacidade de modificação de payload em tempo real, comumente observada em campanhas de malware sofisticado contra servidores Linux. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0541](https://attack.mitre.org/detectionstrategies/DET0189#AN0541)*