# AN1101 — Analytic 1101 ## Descrição Este analítico detecta adversários que invocam `dpkg -l`, `rpm -qa` ou outros gerenciadores de pacotes via shell ou script para enumerar o software instalado em sistemas Linux. Utiliza telemetria de `auditd` e monitoramento de execução de processos para identificar consultas sistemáticas a bancos de dados de pacotes, especialmente quando realizadas por processos não interativos ou usuários sem histórico de administração. A detecção é relevante porque adversários usam enumeração de software para identificar vulnerabilidades exploráveis em pacotes instalados e para detectar ferramentas de segurança antes de implantar payloads adaptados ao ambiente. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1518-software-discovery|T1518 — Software Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1101](https://attack.mitre.org/detectionstrategies/DET0392#AN1101)*