# AN0779 — Analytic 0779 ## Descrição Esta analítica detecta invocações incomuns de systemctl, service ou scripts init criando ou modificando daemons em Linux, monitorando logs de auditoria para execução de binários de caminhos inesperados vinculados a atividade de início/parada de serviços. A telemetria inclui auditd para rastreamento de execução de systemctl com argumentos enable/start, logs do journald para serviços recém-criados e monitoramento de sistema de arquivos para novas unit files systemd. A detecção é importante para identificar persistência via serviços systemd instalados por malware, uma técnica preferida por ransomware Linux e backdoors para manter execução privilegiada em servidores comprometidos. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1569-system-services|T1569 — System Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0779](https://attack.mitre.org/detectionstrategies/DET0279#AN0779)*