# AN1217 — Analytic 1217 ## Descrição Detecta movimentação ou cópia de binários entre caminhos não confiáveis e confiáveis no Linux (por exemplo, de /tmp/ para /usr/bin/ ou /etc/init.d/), o que pode indicar tentativas de persistência ou limpeza de rastros de origem. A telemetria inclui eventos de auditoria do kernel registrando syscalls de cópia e movimentação de arquivos entre partições críticas do sistema. Essa análise é importante para detectar implantes que tentam se estabelecer em locais de sistema confiáveis para sobreviver a reinicializações. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN1217](https://attack.mitre.org/detectionstrategies/DET0439#AN1217)*