# AN1370 — Analytic 1370 ## Descrição Detecta adversários tentando parar ou desabilitar agentes de segurança no host Linux por meio do encerramento de daemons de proteção, descarregamento de módulos de kernel de segurança ou modificação de configurações de serviços init/systemd para impedir reinicialização automática dos agentes. Utiliza auditd para capturar operações de systemctl stop/disable em serviços de segurança, descarregamento de módulos via rmmod e modificações em arquivos de unidade systemd por processos não autorizados. Crítico em servidores Linux onde a desabilitação silenciosa de agentes de detecção pode criar janelas de cegueira operacional exploradas para instalação de rootkits e backdoors. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1014-rootkit|T1014 — Rootkit]] --- *Fonte: [MITRE ATT&CK — AN1370](https://attack.mitre.org/detectionstrategies/DET0497#AN1370)*