# AN0883 — Analytic 0883 ## Descrição Este analytic identifica a execução de utilitários destrutivos como `dd`, `shred` e `wipe` direcionados a dispositivos de bloco, bem como processos que invocam chamadas de sistema para sobrescrever diretamente partições `/dev/sd*` ou `/dev/nvme*`. A telemetria relevante envolve logs de auditoria do kernel (auditd), eventos de escrita de arquivos e acesso a dispositivos de bloco, correlacionados com a execução de processos shell. Detectar este comportamento é fundamental para identificar wipers e ataques de destruição de dados em ambientes Linux, frequentemente utilizados por grupos APT em ataques de sabotagem. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1561-disk-wipe|T1561 — Disk Wipe]] - [[t1561-001-disk-content-wipe|T1561.001 — Disk Content Wipe]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1059-001-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0883](https://attack.mitre.org/detectionstrategies/DET0316#AN0883)*