# AN0950 — Analytic 0950 ## Descrição Detecta modificações em binários de sistema ou aplicação monitorando diretórios privilegiados como `/usr/bin`, `/bin` e outros caminhos críticos do Linux. A telemetria inclui eventos de integridade de arquivos (FIM via auditd ou inotify), correlação com execuções de processos inesperadas ou reinicializações de serviços após a modificação. Alterações não autorizadas em binários do sistema são indicativas de comprometimento profundo, geralmente associadas a rootkits ou implantes de persistência de longo prazo. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1554-compromise-client-software-binary|T1554 — Compromise Client Software Binary]] - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN0950](https://attack.mitre.org/detectionstrategies/DET0336#AN0950)*