# AN1306 — Analytic 1306 ## Descrição Detecta a cadeia comportamental de keying de ambiente em Linux, onde malware coleta informações do sistema via comandos nativos (`uname`, `hostname`, `id`, `ifconfig`), enumera configurações de rede e tabelas de roteamento, analisa sistema de arquivos e pontos de montagem, enumera processos e serviços para identificar software específico do alvo, correlaciona uso de bibliotecas criptográficas com dados coletados e executa payload após válidação. A telemetria inclui eventos de auditd (syscalls `execve`), logs de shell e monitoramento de processos. Esta detecção identifica malware Linux que usa verificações de ambiente para garantir que está no alvo real antes de revelar seu comportamento malicioso, evitando análise em sandboxes de pesquisa. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1057-process-discovery|T1057 — Process Discovery]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] --- *Fonte: [MITRE ATT&CK — AN1306](https://attack.mitre.org/detectionstrategies/DET0474#AN1306)*