# AN1065 — Analytic 1065 ## Descrição Este analítico detecta o uso de `gzip`, `base64`, `tar` ou `openssl` em scripts ou comandos que codificam ou criptografam arquivos após staging ou enumeração do sistema. Utiliza telemetria de `auditd` e monitoramento de execução de processos para correlacionar o uso dessas ferramentas com fases anteriores de coleta de dados. A detecção é importante porque o empacotamento e a criptografia de dados em Linux são etapas preparatórias clássicas antes de exfiltração, frequentemente observadas em campanhas de espionagem e ransomware. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1065](https://attack.mitre.org/detectionstrategies/DET0378#AN1065)*