# AN0812 — Analytic 0812 ## Descrição Esta analítica detecta a execução de arquivos cujo nome contém um espaço em branco no final para se disfarçar como um executável legítimo conhecido. A telemetria utilizada inclui logs de execução de processos via auditd e monitoramento de argumentos de linha de comando, identificando nomes de arquivo com whitespace trailing que os interpretadores de shell podem tratar de forma diferente. Esta detecção é importante pois adversários exploram essa ambiguidade para criar binários maliciosos que parecem idênticos a ferramentas legítimas para analistas humanos e alguns sistemas de logging. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1036-005-match-legitimate-name-or-location|T1036.005 — Match Legitimaté Name or Location]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN0812](https://attack.mitre.org/detectionstrategies/DET0292#AN0812)*