# AN1135 — Analytic 1135 ## Descrição Detecta o abuso de atributos estendidos (xattrs) para embutir payloads ocultos em arquivos legítimos, monitorando uso anômalo de `setfattr` ou `getfattr`, ou chamadas de sistema diretas (`setxattr`, `getxattr`) onde os atributos são incomumente grandes ou contêm dados codificados. A telemetria utilizada inclui auditd com regras para syscalls de xattr, logs de modificação de metadados de arquivos e monitoramento de execução de processos que leem atributos seguidos de atividade de decodificação. Essa técnica é relevante porque permite ocultar payloads em arquivos benignos sem alterar seu conteúdo principal, dificultando a detecção por ferramentas baseadas em hash ou análise de conteúdo. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1135](https://attack.mitre.org/detectionstrategies/DET0406#AN1135)*