# AN0645 — Analytic 0645 ## Descrição Detecta abuso adversarial de timers do systemd correlacionando a criação ou modificação de unidades `.timer` e `.service` em diretórios do sistema com a execução de processos filhos anômalos lançados pelo `systemd` (PID 1), especialmente como root. A telemetria inclui auditd, Sysmon para Linux e logs do journald que registram operações de escrita em diretórios como `/etc/systemd/system/` e `/usr/lib/systemd/system/`. Essa detecção é crítica pois timers do systemd são um mecanismo de persistência silencioso frequentemente utilizado por malware e ameaças avançadas em ambientes Linux. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0645](https://attack.mitre.org/detectionstrategies/DET0231#AN0645)*