# AN0993 — Analytic 0993 ## Descrição Este analítico detecta ataques drive-by no Linux, identificando comandos `curl` ou `wget` que salvam payloads executáveis ou scripts em `/tmp` ou `/var/tmp` seguidos de execução imediata, além de monitorar alertas de IDS/IPS para respostas HTTP injetadas ou tipos de conteúdo inconsistentes com o esperado. A telemetria utilizada inclui eventos do auditd monitorando chamadas `write` e `execve` em diretórios temporários com correlação de tráfego de rede para identificar a fonte da injeção. Esta detecção é relevante para servidores Linux expostos e estações de trabalho de desenvolvedores que utilizam automação baseada em curl, pois ataques MITM e respostas de servidor comprometido podem injetar payloads durante downloads aparentemente legítimos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1189-drive-by-compromise|T1189 — Drive-by Compromise]] - [[t1203-exploitation-for-client-execution|T1203 — Exploitation for Client Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0993](https://attack.mitre.org/detectionstrategies/DET0349#AN0993)*