# AN1062 — Analytic 1062 ## Descrição Este analítico detecta o carregamento anômalo de módulos de kernel, manipulação direta de `/dev`, `/proc` ou comportamentos `LD_PRELOAD` que ocultam processos ou arquivos em sistemas Linux. Utiliza telemetria de `auditd` (monitoramento de `init_module`/`finit_module`), eBPF e verificação de integridade de módulos carregados para identificar rootkits em nível de kernel. A detecção é crítica porque rootkits de kernel Linux são usados por adversários sofisticados para esconder atividade maliciosa do sistema operacional, tornando ferramentas forenses convencionais ineficazes. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1014-rootkit|T1014 — Rootkit]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1062](https://attack.mitre.org/detectionstrategies/DET0377#AN1062)*