# AN1056 — Analytic 1056 ## Descrição Este analítico monitora a criação ou modificação de arquivos de regras `udev` em diretórios-chave (`/etc/udev/rules.d/`, `/lib/udev/rules.d/`, `/usr/lib/udev/rules.d/`), especialmente buscando chaves `RUN+=` ou `IMPORT` que invocam binários ou scripts suspeitos. Utiliza telemetria de monitoramento de integridade de arquivos (FIM), `auditd` e análise de execução de processos a partir do contexto `systemd-udevd`. Esta detecção é importante porque adversários usam regras `udev` maliciosas para estabelecer persistência discreta que sobrevive a reboots e é raramente monitorada por ferramentas de segurança convencionais. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN1056](https://attack.mitre.org/detectionstrategies/DET0375#AN1056)*