# AN0832 — Analytic 0832 ## Descrição Esta analítica detecta a execução de utilitários de arquivamento (tar, gzip, bzip2, xz, zip, openssl) seguida da criação suspeita de arquivos compactados. A telemetria utilizada inclui logs auditd correlacionando criação de arquivos em diretórios temporários ou de staging com a execução de comandos contendo opções de compressão ou criptografia. Esta detecção é relevante para identificar adversários em sistemas Linux que coletam e preparam dados para exfiltração, especialmente em servidores web comprometidos ou ambientes de desenvolvimento onde ferramentas de compressão são comuns, mas padrões de uso podem revelar atividade maliciosa. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1560-001-archive-via-utility|T1560.001 — Archive via Utility]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0832](https://attack.mitre.org/detectionstrategies/DET0298#AN0832)*