# AN0944 — Analytic 0944 ## Descrição Detecta o uso do comando `at` para agendar jobs no Linux, seguido de execução do job e modificação de arquivos sob `/var/spool/cron/atjobs`. A telemetria inclui logs do auditd monitorando execuções de `at`, eventos de criação de arquivos no diretório de spool e rastreamento de processos filhos gerados pelo daemon `atd`. Essa analítica é importante para detectar persistência em servidores Linux onde atacantes utilizam o serviço `at` para execução de payloads em momento futuro. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1136-create-account|T1136 — Create Account]] --- *Fonte: [MITRE ATT&CK — AN0944](https://attack.mitre.org/detectionstrategies/DET0333#AN0944)*