# AN0701 — Analytic 0701 ## Descrição Detecta criação ou modificação de arquivos de unidade `.service` em diretórios de nível de sistema ou usuário, combinado com execução de `systemctl`, `service` ou drop-ins criados dinâmicamente via geradores do systemd, analisando o caminho `ExecStart`, entropia do arquivo e uso de symlink especialmente quando vinculados a localizações como `/tmp`, `/dev/shm` ou volumes não montados. A telemetria inclui auditd (monitoramento de escrita em diretórios de unidades systemd), Sysmon para Linux e logs do journald que identificam a criação de serviços com caminhos de execução incomuns ou oriundos de locais temporários de alta volatilidade. Essa analítica é crítica pois a persistência via serviços systemd é amplamente utilizada por malware Linux como TeamTNT, XorDDoS e outros que visam servidores de cloud para mineração de criptomoeda e backdoors. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0701](https://attack.mitre.org/detectionstrategies/DET0253#AN0701)*