# AN0748 — Analytic 0748 ## Descrição Esta analítica detecta arquivamento adversarial em Linux por scripts ou binários que chamam bibliotecas de compressão (libzip, zlib, bzip2), correlacionando execução de Python, Perl ou binários compilados com link dinâmico a bibliotecas de arquivamento e criação de arquivos comprimidos em /tmp ou diretórios de usuário. A telemetria inclui auditd com rastreamento de syscalls de acesso a arquivos, strace de processos suspeitos e análise de ldd para links dinâmicos. A detecção é importante porque o uso programático de bibliotecas de compressão, ao invés de ferramentas de linha de comando, é uma técnica de evasão para contornar alertas baseados em nome de processo. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN0748](https://attack.mitre.org/detectionstrategies/DET0268#AN0748)*