# AN0996 — Analytic 0996 ## Descrição Este analítico detecta a execução de interpretadores legados ou antigos no Linux (como `python2`, bash com historico de logging restrito), downgrade de configurações TLS/SSL ou fallback forçado para protocolos não criptografados, e reconfiguração suspeita de módulos do kernel ou boot loaders para reduzir controles de integridade. A telemetria utilizada inclui logs do auditd para execução de binários legacy, monitoramento de alterações em `/etc/ssl/openssl.cnf`, configurações de grub e parâmetros do kernel via `/proc/cmdline`. Esta detecção é importante para identificar atacantes que reduzem deliberadamente as capacidades defensivas de um sistema Linux comprometido para facilitar operações de longa duração e dificultar a detecção. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0996](https://attack.mitre.org/detectionstrategies/DET0350#AN0996)*