# AN0658 — Analytic 0658 ## Descrição Detecta modificação ou criação de scripts `/etc/rc.local` ou `/etc/init.d` seguida de execução suspeita durante a inicialização do sistema. A telemetria inclui auditd (monitoramento de escrita em `/etc/rc.local` e diretório `/etc/init.d/`) e logs de execução de processos que identificam comandos anômalos rodando como root durante o boot. Essa analítica é crítica pois a modificação de scripts de inicialização é uma técnica clássica de persistência em Linux utilizada por backdoors e rootkits para garantir sobrevivência após reinicializações do sistema. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1037-boot-or-logon-initialization-scripts|T1037 — Boot or Logon Initialization Scripts]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0658](https://attack.mitre.org/detectionstrategies/DET0237#AN0658)*