# AN1081 — Analytic 1081 ## Descrição Este analítico detecta a execução de shells bash, sh, zsh ou BusyBox iniciados via sessões remotas, usuários não autorizados ou embutidos em interpretadores de script secundários. O foco é em comportamento encadeado: shell → comandos suspeitos → descoberta de rede ou indicadores de persistência. Utiliza telemetria de `auditd`, eBPF e análise de árvore de processos para identificar invocações de shell anômalas. A detecção é fundamental para identificar acesso inicial e movimentação lateral em servidores Linux, especialmente via exploração de serviços expostos que resultam em shells reversos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1046-network-service-discovery|T1046 — Network Service Discovery]] --- *Fonte: [MITRE ATT&CK — AN1081](https://attack.mitre.org/detectionstrategies/DET0384#AN1081)*