# AN1315 — Analytic 1315 ## Descrição Detecta a cadeia causa-efeito de execução a partir de arquivos entregues a usuários em Linux: (1) aplicativo/browser/arquivador registra abertura ou saída anômala; (2) novo executável/script/arquivo extraído em `$HOME/Downloads`, `/tmp` ou `~/.cache`; (3) aplicação pai gera shell ou interpretador (`bash`, `sh`, `python`, `node`, `curl`, `wget`) ou arquivo `.desktop`; (4) novas conexões de saída da linhagem filha. A telemetria inclui eventos de auditd para `execve`, criação de arquivos e eventos de rede correlacionados via linhagem de processo. Esta detecção identifica a fase de execução inicial de ataques contra usuários Linux, onde arquivos maliciosos entregues via download ou email são executados a partir de diretórios temporários do usuário. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1204-user-execution|T1204 — User Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN1315](https://attack.mitre.org/detectionstrategies/DET0478#AN1315)*