# AN0638 — Analytic 0638 ## Descrição Este analítico detecta scripts shell ou binários no Linux que iniciam uma requisição `curl`/`wget` para um domínio de staging, escrevem o output em disco ou memória, e logo em seguida lançam outro processo que estabelece uma nova conexão de saída para um endereço IP ou hostname diferente, indicando comprometimento em dois estágios. A telemetria inclui logs de auditoria Linux (`auditd`) com rastreamento de chamadas de sistema de rede e criação de processos, registros de proxy de saída para correlação de URLs de primeiro estágio e logs de firewall que identificam o segundo destino de C2 via correlação de temporalidade. Essa detecção é relevante em servidores Linux pois o padrão de download via curl/wget seguido de execução e beacon é o comportamento característico de stagers de malware, loaders e frameworks de C2 como Metasploit, Sliver e variantes de RATs Linux. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0638](https://attack.mitre.org/detectionstrategies/DET0228#AN0638)*