# AN1175 — Analytic 1175 ## Descrição Detecta execução de utilitários do sistema (`systemctl`, `systemd-inhibit`, `systemd-sleep`) modificando comportamento de sono ou hibernação, com edições anômalas em arquivos de configuração do sistema como `/etc/systemd/sleep.conf` correlacionadas com execução de processos para identificar técnicas de persistência. A telemetria inclui auditd para execuções de systemctl e systemd-inhibit, logs de modificação de arquivos de configuração do systemd e monitoramento de processos para construir cadeias de eventos completas. Em servidores Linux corporativos, a manipulação de configurações de energia é raramente legítima e pode ser indicador de um adversário garantindo acesso persistente impedindo que o sistema entre em estado de baixo consumo. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN1175](https://attack.mitre.org/detectionstrategies/DET0417#AN1175)*