# AN1196 — Analytic 1196 ## Descrição Detecta o abuso de bind mounts para obscurecer diretórios de processos, monitorando operações anômalas de montagem onde entradas `/proc` de um processo são remapeadas para outro diretório, ocultando atividade maliciosa de utilitários nativos como ps e top. A telemetria inclui auditd para chamadas de sistema de montagem (`mount --bind`, syscall `mount`), monitoramento de modificações de entradas `/proc` e correlação com atividade de processo cujos metadados não correspondem mais ao contexto de execução. Esse analítico é relevante para detectar rootkits e malware de evasão sofisticados em Linux que utilizam namespaces e bind mounts para ocultar sua presença de ferramentas de análise forense e detecção baseadas em /proc. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1196](https://attack.mitre.org/detectionstrategies/DET0428#AN1196)*