# AN1223 — Analytic 1223 ## Descrição Detecta padrões anômalos de execução de processos no Linux onde o processo pai é encerrado rapidamente após a criação de um filho ou é reparentado para o 'init' (PID 1), indicando técnicas de double-fork ou detachment estilo daemon. A telemetria inclui eventos de auditoria do kernel sobre criação e encerramento de processos, mudanças no processo pai (PPID) e correlação com execução de código sob contextos não esperados. Essas técnicas são usadas por adversários para romper a cadeia de processos e dificultar a análise forense e rastreamento de execução. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN1223](https://attack.mitre.org/detectionstrategies/DET0443#AN1223)*