# AN0713 — Analytic 0713 ## Descrição Detecta modificação ou criação não autorizada de arquivos de hook do Python como `.pth`, `sitecustomize.py` ou `usercustomize.py` em `site-packages`, `dist-packages` ou caminhos de usuário, correlacionada com execução inesperada do interpretador sem interação do usuário, mudanças no comportamento do interpretador via imports maliciosos e conexões de saída iniciadas por Python. A telemetria inclui auditd (monitoramento de escrita em diretórios `site-packages`), logs de execução de processo e monitoramento de rede que identificam `python3` iniciando conexões externas imediatamente após modificação de hooks de importação. Essa analítica é importante para detectar persistência sofisticada em ambientes de desenvolvimento Python onde adversários modificam hooks de importação para garantir execução de código malicioso a cada vez que o interpretador é invocado. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] --- *Fonte: [MITRE ATT&CK — AN0713](https://attack.mitre.org/detectionstrategies/DET0258#AN0713)*