# AN0798 — Analytic 0798 ## Descrição Esta analítica detecta exploração de aplicativo cliente em Linux via cadeia causa→efeito: (1) processo de navegador/Office/leitor registra crash/segfault ou mensagem anormal de sandbox, (2) novo executável/script/gravação ocorre em $HOME (Downloads, ~/.cache, /tmp), (3) filho inesperado como curl/wget/bash/python abre conexões de rede logo depois. A telemetria inclui auditd para rastreamento de crashes de processos e criação subsequente de arquivos, logs do journald para segfaults e análise de tráfego de rede para conexões de saída logo após eventos de crash. A detecção é relevante porque navegadores Linux como Firefox e Chromium são alvos de exploração frequentes em campanhas de watering hole e spear-phishing contra usuários Linux corporativos e desenvolvedores. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1203-exploitation-for-client-execution|T1203 — Exploitation for Client Execution]] - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0798](https://attack.mitre.org/detectionstrategies/DET0287#AN0798)*