# AN0828 — Analytic 0828 ## Descrição Esta analítica detecta a execução de utilitários como `dd`, `hdparm` e `sgdisk` ou binários customizados tentando sobrescrever estruturas de boot de disco em `/dev/sda` (setor MBR ou tabelas de partição). A telemetria utilizada inclui logs auditd correlacionando execução shell com syscalls que escrevem no setor 0 ou em blocos de metadados de disco. Esta detecção é essencial para identificar wipers destrutivos em ambientes Linux, onde a destruição do MBR pode inutilizar completamente servidores em data centers e ambientes de produção críticos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1561-002-disk-structure-wipe|T1561.002 — Disk Structure Wipe]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0828](https://attack.mitre.org/detectionstrategies/DET0297#AN0828)*