# AN1385 — Analytic 1385 ## Descrição Detecta criação de arquivos ocultos usando prefixo '.' ou alterações de atributo com chattr para definir flags de imutabilidade ou ocultação em Linux, bem como aparecimento incomum de arquivos ocultos em diretórios de sistema. Utiliza auditd para monitorar execução de chattr, anomalias em lsattr e criação de arquivos com prefixo '.' em diretórios como /etc, /lib ou caminhos de serviços por processos não autorizados. Importante para detectar rootkits e backdoors Linux que utilizam ocultação de arquivos para esconder configurações, chaves SSH não autorizadas e binários maliciosos de auditorias de segurança manuais e automatizadas. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1014-rootkit|T1014 — Rootkit]] --- *Fonte: [MITRE ATT&CK — AN1385](https://attack.mitre.org/detectionstrategies/DET0502#AN1385)*