# AN1016 — Analytic 1016 ## Descrição Este analítico detecta a execução de `ping`, `traceroute` ou `curl`/`wget` contra IPs ou domínios públicos para verificar alcançabilidade da internet em Linux, especialmente quando executados por processos de sistema, scripts automatizados ou usuários com padrão de comportamento inconsistente com essa atividade. A telemetria utilizada inclui eventos do auditd monitorando execução dessas ferramentas e eventos de rede para conexões externas, correlacionando o contexto do processo (usuário, processo pai, hora) com o baseline de comportamento esperado. Esta detecção é relevante porque malware Linux e scripts de pós-exploração frequentemente realizam verificações de conectividade como primeiro passo do beaconing C2, permitindo identificar a presença de implantes antes do estabelecimento completo da comunicação. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1049-system-network-connections-discovery|T1049 — System Network Connections Discovery]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1016](https://attack.mitre.org/detectionstrategies/DET0357#AN1016)*