# AN0984 — Analytic 0984 ## Descrição Este analítico detecta binários renomeados ou scripts colocados em caminhos confiáveis do Linux como `/usr/bin`, `/lib` ou `/sbin` com metadados inconsistentes ou timestamps de criação/modificação inesperados que divergem do baseline do sistema. A telemetria utilizada inclui monitoramento de integridade de arquivos (FIM) via auditd ou ferramentas como AIDE/Tripwire, eventos de criação de arquivos em diretórios do sistema e verificação de assinatura de pacotes (debsums, rpm -V). A detecção é importante porque binários mascarados em diretórios do sistema são uma técnica de persistência comum em rootkits Linux e implantes de APTs, pois passam por verificações simples de listagem de diretório sem levantar suspeitas. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] --- *Fonte: [MITRE ATT&CK — AN0984](https://attack.mitre.org/detectionstrategies/DET0347#AN0984)*