# AN0783 — Analytic 0783 ## Descrição Esta analítica detecta em Linux sequências de utilitários de compressão de linha de comando (gzip, tar, zip, 7z) seguidas de execução de arquivos descomprimidos, especialmente em diretórios temporários como /dev/shm ou /tmp com binários ELF. A telemetria inclui auditd para rastreamento sequencial de execução de ferramentas de compressão, seguido de operações de arquivo (chmod +x) e execução de binários em locais temporários. A detecção é crítica porque a sequência descomprimir-em-tmp e executar-imediatamente é o padrão de deploy de cryptominers, rootkits e backdoors entregues como arquivos comprimidos em comprometimentos de servidores Linux. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0783](https://attack.mitre.org/detectionstrategies/DET0281#AN0783)*