# AN1247 — Analytic 1247 ## Descrição Detecta manipulação de atributos estendidos (xattr) para remover metadados de quarentena ou confiança no Linux, instalação anômala de certificados raiz em /etc/ssl ou /usr/local/share/ca-certificates e modificação não autorizada de repositórios de confiança do sistema. A telemetria inclui eventos de modificação de xattr, execução de utilitários de gerenciamento de certificados e correlação com execução de processos suspeitos envolvendo gerenciadores de pacotes. Essa análise é importante para identificar adversários que modificam o repositório de confiança do sistema para facilitar ataques de interceptação de tráfego TLS. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1553.004-install-root-certificate|T1553.004 — Install Root Certificaté]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN1247](https://attack.mitre.org/detectionstrategies/DET0452#AN1247)*