# AN1183 — Analytic 1183 ## Descrição Detecta acesso ao histórico de shell ou estado de entrada de GUI (xdotool, xinput) para válidação de presença de usuário antes de execução de payload. A telemetria inclui auditd para leitura de arquivos de histórico de shell e chamadas de sistema relacionadas a xinput, logs do Xorg e monitoramento de processos para correlacionar verificações de presença com execução de código malicioso subsequente. Esse analítico é relevante para detecção de malware Linux avançado que implementa verificações anti-sandbox baseadas em interatividade de usuário, uma técnica crescentemente utilizada para evitar análise em ambientes de detecção automatizada. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1033-system-owner-user-discovery|T1033 — System Owner/User Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1183](https://attack.mitre.org/detectionstrategies/DET0420#AN1183)*