# AN0904 — Analytic 0904 ## Descrição Este analytic detecta o uso de `netstat`, `ss`, `lsof` ou scripts shell personalizados para listar conexões de rede correntes em sistemas Linux, frequentemente combinado com escalada de privilégio ou staging de dados. A telemetria inclui logs de auditoria do kernel (auditd com regras de execução) e dados de EDR monitorando a execução desses binários em contextos suspeitos, como execução a partir de diretórios temporários ou por processos não interativos. Em Linux, a enumeração de rede é um indicador precoce de movimento lateral planejado, pois adversários mapeiam serviços internos antes de escalar o ataque para outros hosts ou exfiltrar dados. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1049-system-network-connections-discovery|T1049 — System Network Connections Discovery]] - [[t1018-remote-system-discovery|T1018 — Remote System Discovery]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] --- *Fonte: [MITRE ATT&CK — AN0904](https://attack.mitre.org/detectionstrategies/DET0320#AN0904)*