# AN0631 — Analytic 0631 ## Descrição Este analítico detecta quando um script ou binário no Linux é nomeado com extensões enganosas ou de aparência benigna (`.jpg`, `.doc`) e posteriormente executado via linha de comando ou tarefa agendada, incluindo incompatibilidades de cabeçalho ELF e inconsistências de tipo de conteúdo em disco. A telemetria inclui logs de auditoria Linux com eventos de execução de arquivos onde a extensão não corresponde ao tipo detectado pelo cabeçalho mágico, monitoramento de tentativas de execução de arquivos não executáveis por extensão via `auditd` e alertas de integridade de arquivos para mudanças de tipo em diretórios monitorados. Essa detecção é importante pois o mascaramento por extensão de arquivo é uma técnica simples e eficaz usada em ataques de comprometimento inicial via engenharia social, além de ser usada em movimentação lateral para disfarçar ferramentas de ataque como arquivos de dados legítimos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] --- *Fonte: [MITRE ATT&CK — AN0631](https://attack.mitre.org/detectionstrategies/DET0226#AN0631)*