# AN0600 — Analytic 0600 ## Descrição Este analítico detecta scripts shell, binários ELF ou arquivos compactados contendo payloads secundários embutidos, componentes de auto-extração ou comportamento de compressão incomum em tempo de execução no Linux. A telemetria inclui análise de cabeçalho ELF com verificação de seções incomuns, monitoramento de desempacotamento em tempo de execução via `auditd` e correlação de criação de arquivos filhos por processos executáveis que não deveriam gerar novos binários. Essa detecção é importante em ambientes Linux pois scripts de instalação maliciosos e binários ELF com payloads embutidos são vetores comuns de comprometimento inicial, especialmente em ambientes de servidor onde o download e execução de scripts é uma prática operacional normal. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0600](https://attack.mitre.org/detectionstrategies/DET0214#AN0600)*