# AN1400 — Analytic 1400 ## Descrição Detecta injeção de processo baseada em ptrace ou memfd no Linux por meio de logs de auditoria que capturam chamadas de sistema como ptrace e mmap direcionadas a processos em execução, além de descritores de arquivo suspeitos ou escritas em memória de outros processos. A telemetria baseia-se em logs do auditd configurados para rastrear chamadas de sistema sensíveis e eventos de acesso ao sistema de arquivos /proc/[pid]/mem. Essa detecção é relevante para identificar ferramentas de pós-exploração em ambientes Linux, especialmente em servidores e infraestruturas de contêineres onde o ptrace pode ser abusado por adversários para injetar código em processos legítimos. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1055-008-ptrace-system-calls|T1055.008 — Ptrace System Calls]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1106-native-api|T1106 — Native API]] --- *Fonte: [MITRE ATT&CK — AN1400](https://attack.mitre.org/detectionstrategies/DET0508#AN1400)*