# AN1382 — Analytic 1382 ## Descrição Detecta invocação de GCC ou Clang em caminhos de arquivo suspeitos (como /tmp/ ou ~/Downloads) com saída para binários executáveis, seguida de execução ou tráfego de saída originados desses binários recém-compilados. Utiliza auditd para capturar chamadas de compiladores com argumentos de caminho suspeitos, criação de arquivos executáveis em diretórios temporários e execução subsequente dos artefatos compilados. Técnica usada por adversários para contornar listas de bloqueio de hashes e soluções de allowlisting, compilando payloads diretamente no sistema comprometido com ferramentas de desenvolvimento legítimas já presentes. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN1382](https://attack.mitre.org/detectionstrategies/DET0501#AN1382)*