# AN1214 — Analytic 1214 ## Descrição Detecta rotinas de arquivamento personalizadas correlacionando execução de scripts (Python, Perl, Bash) com a criação de arquivos de alta entropia em diretórios temporários ou de usuário no Linux. A telemetria inclui eventos de execução de processos, operações bitwise incomuns e escrita de arquivos sem cabeçalhos de compressão padrão. Essa análise é relevante para detectar preparação de dados roubados para exfiltração por adversários que evitam utilitários comuns como zip ou tar. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN1214](https://attack.mitre.org/detectionstrategies/DET0438#AN1214)*