# AN0963 — Analytic 0963 ## Descrição Este analítico detecta execução maliciosa via colagem de comandos em terminais Linux (bash/zsh), onde o usuário é manipulado a colar um one-liner que baixa e executa código remotamente via curl, wget ou decodificação base64. A telemetria principal inclui logs de auditoria do sistema (auditd) e eventos de criação de processos monitorando pipelines suspeitos como `curl | bash` ou `wget -O- | sh` seguidos de escrita em `/tmp` ou `~/.cache` e conexões de rede. A importância da detecção reside em identificar comprometimentos iniciais que exploram a confiança implícita do usuário em terminais, frequentemente usados em ataques a desenvolvedores e ambientes DevOps. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0963](https://attack.mitre.org/detectionstrategies/DET0340#AN0963)*