# AN0914 — Analytic 0914 ## Descrição Este analytic detecta binários ELF escritos em disco com tamanho de arquivo ou entropia anômalos, seguidos rapidamente por execução ou escrita em regiões de memória de processos remotos via `ptrace`. A telemetria inclui logs de auditoria do kernel (syscalls `execve`, `ptrace`), análise de entropia de arquivos por EDR e eventos de criação de arquivo em diretórios temporários. Em Linux, o uso de binários ELF com padding ou ofuscação é uma tática evasiva que dificulta a detecção por assinatura, sendo amplamente utilizada por rootkits e malware sofisticado direcionado a servidores de alto valor. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1027-001-binary-padding|T1027.001 — Binary Padding]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] --- *Fonte: [MITRE ATT&CK — AN0914](https://attack.mitre.org/detectionstrategies/DET0322#AN0914)*