# AN0768 — Analytic 0768 ## Descrição Esta analítica detecta em Linux uso de utilitários nativos como base64, gzip, tar ou openssl para decodificar, descomprimir ou decifrar arquivos previamente preparados ou baixados, frequentemente encadeados com curl/wget e executados via bash/zsh para extrair payload embutido ou script de reverse shell. A telemetria inclui auditd para rastreamento de execução de processos com argumentos de decodificação, logs de shell e análise de comportamento de criação de arquivos executáveis em diretórios temporários. A detecção é crítica porque o encadeamento de ferramentas nativas de decodificação é uma técnica LOLBin clássica para implantar malware evitando detecção por assinatura de arquivo. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0768](https://attack.mitre.org/detectionstrategies/DET0275#AN0768)*