# AN1096 — Analytic 1096 ## Descrição Este analítico detecta a correlação entre criação ou modificação de arquivos `.desktop` em diretórios XDG autostart, seguida de execução de processos no login do usuário iniciados pelo ambiente desktop. Entradas maliciosas tipicamente incluem caminhos `Exec` suspeitos ou nomes anômalos não associados a pacotes instalados. Utiliza telemetria de monitoramento de integridade de arquivos (FIM), `auditd` e análise de processos iniciados pelo desktop environment. A detecção é relevante porque arquivos `.desktop` maliciosos são um mecanismo de persistência frequentemente ignorado em distribuições Linux com interface gráfica, sendo usado para execução silenciosa de malware no login. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN1096](https://attack.mitre.org/detectionstrategies/DET0390#AN1096)*