# AN0920 — Analytic 0920 ## Descrição Este analytic detecta arquivos ou processos onde a execução resulta em recriação ou modificação frequente de binários ELF ou scripts de interpretador, frequentemente usando `chmod` seguido de `execve` com entropia anômala. A telemetria inclui inotify/fanotify (monitoramento de sistema de arquivos) do Linux, logs de auditoria com syscalls `chmod` e `execve`, e análise de entropia de novos arquivos ELF criados durante a execução. A modificação contínua de binários é um comportamento evasivo de malware que utiliza polimorfismo em tempo de execução para evitar correspondência de assinatura estática, sendo uma assinatura de comportamento de worms e malware de cryptomining avançado. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1027-002-software-packing|T1027.002 — Software Packing]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN0920](https://attack.mitre.org/detectionstrategies/DET0324#AN0920)*