# AN1429 — Analytic 1429 ## Descrição Detecta o uso de intérpretes shell como bash, sh, python ou perl iniciados por usuários ou processos que normalmente não os executam, especialmente quando encadeando utilitários suspeitos como netcat, curl ou ssh para comunicação com infraestrutura externa. A telemetria baseia-se em logs de auditoria do Linux e eventos de execução de processos que identificam anomalias na linhagem de processo e nos argumentos utilizados para estabelecer conexões de rede ou baixar payloads adicionais. Essa detecção é relevante para identificar execução de shell reverso e C2 implantados em servidores Linux por meio de vulnerabilidades web (RCE, SSRF) ou comprometimento de credenciais de acesso remoto. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1059-006-python|T1059.006 — Python]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN1429](https://attack.mitre.org/detectionstrategies/DET0516#AN1429)*