# AN0974 — Analytic 0974 ## Descrição Este analítico detecta o uso de diretórios de memória compartilhada no Linux (`/dev/shm`, `/run/shm`) para armazenamento temporário de dados ofuscados, codificados ou executáveis sem persistência em disco. A telemetria utilizada inclui eventos de auditd monitorando criação e execução de arquivos nesses caminhos, bem como monitoramento de chamadas de sistema `mmap`, `open` e `execve` para esses diretórios via eBPF ou auditd. A detecção é importante porque `/dev/shm` é montado em tmpfs (memória RAM), deixando poucos rastros após reinicialização, tornando-o ideal para staging de payloads fileless por malware Linux como o grupo APT28 e mineradores de criptomoedas. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN0974](https://attack.mitre.org/detectionstrategies/DET0344#AN0974)*