# AN1367 — Analytic 1367 ## Descrição Detecta a sequência de execução de agente RAT em Linux, seguida de persistência via systemd e estabelecimento de conexão de saída de longa duração para infraestrutura externa, com possível spawn de shells interativos originados do agente. Utiliza auditd e syslog para capturar criação de serviços systemd por processos não administrativos, conexões de rede persistentes e execução de shells filhos a partir de processos de acesso remoto. Fundamental para servidores Linux onde agentes RAT podem permanecer ativos por meses sem detecção quando não há cobertura adequada de EDR. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1219-remote-access-tools|T1219 — Remote Access Software]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1367](https://attack.mitre.org/detectionstrategies/DET0496#AN1367)*