# AN1299 — Analytic 1299 ## Descrição Detecta modificação de scripts ou binários em diretórios compartilhados NFS/SMB seguida de execução de processos a partir desses caminhos. A telemetria inclui eventos de auditoria de arquivos via `auditd` (syscalls `open`, `write`, `rename` em montagens NFS/SMB), logs de montagem do sistema e eventos de criação de processos que referênciam caminhos de rede. Esta detecção é importante para identificar ataques de contaminação de conteúdo compartilhado em ambientes Linux onde adversários modificam scripts em compartilhamentos de rede para execução maliciosa quando acessados por outros usuários ou processos automatizados. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1080-taint-shared-content|T1080 — Taint Shared Content]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1021-002-smb-windows-admin-shares|T1021.002 — SMB/Windows Admin Shares]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1299](https://attack.mitre.org/detectionstrategies/DET0471#AN1299)*