# AN1459 — Analytic 1459 ## Descrição Detecta atividade de arquivamento adversarial em Linux por meio da invocação de utilitários como `tar`, `gzip`, `bzip2` ou `openssl` em contextos não administrativos ou incomuns, correlacionando padrões de execução de comandos com a criação de arquivos comprimidos ou criptografados em diretórios de staging como `/tmp` ou `/var/tmp`. A telemetria inclui auditd, logs de shell e monitoramento de criação de arquivos via inotify ou eBPF. Esta analítica é importante para detectar a fase de preparação para exfiltração em ambientes Linux, onde dados coletados são empacotados antes de serem transferidos para infraestrutura controlada pelo adversário. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1560-archive-collected-data|T1560 — Archive Collected Data]] - [[t1074-data-staged|T1074 — Data Staged]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN1459](https://attack.mitre.org/detectionstrategies/DET0526#AN1459)*