# AN1038 — Analytic 1038 ## Descrição Este analítico detecta o abuso do comando `trap` em scripts de inicialização de shell no Linux (`.bashrc`, `.profile`) correlacionando modificações nesses arquivos que embedam comandos `trap` com execução inesperada de processos filhos quando sinais do terminal (como SIGINT) são disparados, usando vinculação contextual com atividade de sessão de usuário para detectar uso indevido de privilégio. A telemetria utilizada inclui eventos de auditd para modificações em arquivos `.bashrc`/`.profile`, monitoramento de filesystem via inotify para esses arquivos e eventos de criação de processos correlacionados com sinais de terminal via análise de Process Tree. A detecção é importante para identificar backdoors de persistência baseados em trap que se ativam durante uso normal do terminal, dificilmente detectados por ferramentas de análise estática que não monitoram comportamento dinâmico de shell. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN1038](https://attack.mitre.org/detectionstrategies/DET0369#AN1038)*