# AN0656 — Analytic 0656 ## Descrição Detecta anexos de phishing executados em sistemas Linux vinculando logs de e-mail à criação de arquivos em diretórios de mail e execução suspeita subsequente de processos. A telemetria inclui logs do MTA (Postfix/Dovecot), auditd e logs de rede que correlacionam arquivos criados em diretórios de mail do usuário com binários ou scripts inesperados gerados a partir dessas localizações. Essa analítica é importante pois servidores Linux frequentemente hospedam serviços de e-mail corporativos, e a exploração via anexo malicioso pode comprometer diretamente infraestrutura crítica, servidores web ou ambientes de desenvolvimento. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0656](https://attack.mitre.org/detectionstrategies/DET0236#AN0656)*