# AN1049 — Analytic 1049 ## Descrição Este analítico detecta scripts shell ou binários que invocam repetidamente `sleep`, `ping` ou syscalls de baixo nível (como `nanosleep`) em cadeias de execução de curta duração sem interação do usuário ou do sistema. Utiliza telemetria de `auditd`, eBPF e análise de árvore de processos para identificar padrões de atraso artificial em jobs maliciosos via `cron` ou stagers de payload. Esta detecção é essencial para identificar malware que usa delays estratégicos para evadir sandboxes de análise e sistemas de detecção baseados em comportamento temporal. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1049](https://attack.mitre.org/detectionstrategies/DET0372#AN1049)*