# AN1243 — Analytic 1243 ## Descrição Monitora atividade de carregamento e descarregamento de módulos do kernel Linux via modprobe, insmod, rmmod ou manipulação direta de /lib/modules, correlacionando com instalação de cabeçalhos do kernel, comandos de compilação ou downloads de arquivos .ko. A telemetria inclui logs de auditoria do kernel para operações de módulo, execução de comandos de compilação e criação de arquivos .ko em diretórios de módulos. Essa análise é essencial para detectar rootkits de kernel que se instalam como módulos para ocultação de processos, arquivos e conexões de rede. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1547.006-kernel-modules-and-extensions|T1547.006 — Kernel Modules and Extensions]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN1243](https://attack.mitre.org/detectionstrategies/DET0450#AN1243)*