# AN1272 — Analytic 1272 ## Descrição Detecta montagem incomum de sistemas de arquivos loopback ou pseudo não alinhada com atividade administrativa legítima no Linux, monitorando auditd e syslog para comandos mount envolvendo pontos de montagem suspeitos, blocos reservados ou mapeamentos de dispositivos indicativos de partições ocultas. A telemetria inclui eventos de auditoria do kernel para syscalls mount, execução de comandos de gerenciamento de disco e análise de tabelas de montagem do sistema. Essa análise identifica técnicas de ocultação de dados onde adversários criam sistemas de arquivos escondidos para armazenar ferramentas ou dados roubados. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1564.005-hidden-file-system|T1564.005 — Hidden File System]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1014-rootkit|T1014 — Rootkit]] --- *Fonte: [MITRE ATT&CK — AN1272](https://attack.mitre.org/detectionstrategies/DET0461#AN1272)*