# AN0738 — Analytic 0738 ## Descrição Esta analítica detecta o uso de utilitários de e-mail como `mail` ou `mailx` para excluir conteúdo de caixas de correio, ou exclusão em nível de arquivo de inboxes em `/var/spool/mail/` ou `/var/mail/` após sessões suspeitas em Linux. A telemetria inclui auditd com regras de monitoramento de syscalls unlink/rmdir nos diretórios de spool de e-mail, logs de shell e eventos de autenticação de sessão. A detecção é relevante em servidores Linux de e-mail para identificar adversários que tentam apagar evidências de comúnicações comprometidas ou preparar persistência silenciosa. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1114-email-collection|T1114 — Email Collection]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0738](https://attack.mitre.org/detectionstrategies/DET0266#AN0738)*