# AN0821 — Analytic 0821 ## Descrição Esta analítica detecta quando um usuário ou aplicação de desktop grava um novo arquivo em `~/Downloads`, `/tmp` ou mídia removível montada, seguido de execvepor um interpretador ou loader de risco (bash, sh, python, perl, php, node, curl/wget redirecionando para shell, ld.so, rdesktop ou xdg-open com argumentos incomuns). A telemetria utilizada inclui eventos auditd PATH+SYSCALL (open/creat/write/rename) com vinculação de eventos execve. Esta detecção é valiosa para identificar a execução de payloads baixados por usuários em ambientes Linux corporativos, incluindo cenários de spear-phishing que entregam scripts ou binários ELF maliciosos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0821](https://attack.mitre.org/detectionstrategies/DET0294#AN0821)*