# AN0989 — Analytic 0989 ## Descrição Este analítico detecta processos Linux que leem arquivos sensíveis e imediatamente iniciam conexões de saída incomuns ou sessões de transferência em massa via sockets persistentes, especialmente com payloads criptografados ou binários. A telemetria utilizada inclui auditd para monitorar sequências de syscalls `open/read` em arquivos sensíveis seguidas de `connect/sendmsg` para endereços externos, correlacionando o processo, usuário e janela temporal do evento. Esta detecção é relevante para identificar exfiltração pós-comprometimento em servidores Linux, onde atacantes leem arquivos de configuração, chaves SSH, credenciais de banco de dados e imediatamente transmitem os dados para infraestrutura C2. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1020-automated-exfiltration|T1020 — Automated Exfiltration]] --- *Fonte: [MITRE ATT&CK — AN0989](https://attack.mitre.org/detectionstrategies/DET0348#AN0989)*