# AN1358 — Analytic 1358 ## Descrição Detecta abuso de sockets de domínio UNIX, pipes ou filas de mensagens para execução não autorizada de código, correlacionando criação inesperada de sockets com binários suspeitos, pipelines de shell anômalos ou processos injetados que estabelecem canais IPC. A telemetria inclui eventos de auditd para criação de sockets (syscalls `socket`, `bind`), criação de named pipes (`mkfifo`), eventos de execução de processos correlacionados com criação de IPC e monitoramento de herança de file descriptors entre processos. Esta detecção identifica técnicas de execução e injeção em Linux que utilizam mecanismos IPC legítimos para comunicação entre componentes maliciosos ou para injetar código em processos alvo via sockets UNIX, evitando comunicação de rede detectável. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1559-inter-process-communication|T1559 — Inter-Process Commúnication]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-defense-evasion|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN1358](https://attack.mitre.org/detectionstrategies/DET0493#AN1358)*