# AN0624 — Analytic 0624 ## Descrição Este analítico detecta scripts ou binários remotos implantados via Puppet, Chef, Ansible ou scripts shell de servidores de orquestração que são executados fora de janelas de manutenção ou em nós não gerenciados, indicando possível comprometimento da cadeia de ferramentas de automação. A telemetria inclui logs de auditoria Linux com rastreamento de processos originados por agentes Puppet/Chef/Ansible, logs de execução das plataformas de orquestração e alertas de SIEM para execuções em horários ou hosts não cobertos por planos de mudança aprovados. Essa detecção é relevante pois o comprometimento de ferramentas de orquestração de infraestrutura (Ansible, Puppet) permite que adversários executem código em toda a frota de servidores Linux gerenciados simultaneamente, representando um dos vetores de comprometimento em escala mais eficazes em ambientes corporativos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1072-software-deployment-tools|T1072 — Software Deployment Tools]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] --- *Fonte: [MITRE ATT&CK — AN0624](https://attack.mitre.org/detectionstrategies/DET0223#AN0624)*