# AN0824 — Analytic 0824 ## Descrição Esta analítica detecta edições não autorizadas em `/etc/hosts`, `/etc/resolv.conf` ou broadcasts ARP suspeitos em sistemas Linux. A telemetria utilizada inclui logs auditd monitorando modificações nesses arquivos críticos de configuração de rede, correlacionando com sessões de rede inesperadas ou criação de serviços subsequentes. Esta detecção é relevante pois a manipulação de resolução DNS e tabelas ARP é um precursor comum de ataques man-in-the-middle em redes corporativas, frequentemente usada para redirecionar tráfego legítimo por infraestrutura controlada pelo adversário. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0824](https://attack.mitre.org/detectionstrategies/DET0296#AN0824)*