# AN1395 — Analytic 1395 ## Descrição Detecta comandos shell que utilizam execução codificada, encadeamento de comandos, piping excessivo ou padrões de tokens incomuns indicativos de ofuscação. A telemetria inclui logs do auditd capturando execuções de shell com argumentos completos, análise de entropia de strings em linhas de comando e detecção de padrões característicos como `eval`, `base64 -d |`, `$(...)` em sequências complexas. Ofuscação de comandos shell é amplamente utilizada por scripts de pós-exploração em Linux para evadir ferramentas de SIEM baseadas em regras simples. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1395](https://attack.mitre.org/detectionstrategies/DET0505#AN1395)*