# AN1098 — Analytic 1098 ## Descrição Este analítico detecta manipulação em tempo de execução monitorando chamadas de sistema para modificações em bibliotecas compartilhadas, binários ELF ou variáveis de ambiente que afetam como os dados são exibidos. Busca por escritas suspeitas em diretórios de aplicação e discrepâncias em baselines de integridade de binários. Utiliza telemetria de `auditd`, eBPF e ferramentas de verificação de integridade de arquivos (como AIDE, Tripwire) para identificar modificações anômalas em tempo de execução. A detecção é relevante porque modificações de bibliotecas compartilhadas em Linux podem ser usadas para manipular saída de aplicações críticas sem deixar rastros óbvios nos logs de aplicação. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1565-data-manipulation|T1565 — Data Manipulation]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1014-rootkit|T1014 — Rootkit]] --- *Fonte: [MITRE ATT&CK — AN1098](https://attack.mitre.org/detectionstrategies/DET0391#AN1098)*