# AN1466 — Analytic 1466 ## Descrição Detecta processos em userland que invocam bibliotecas com uso intenso de syscalls (libc, glibc) seguidos por comportamento de `fork`, `mmap` ou `ptrace`, comumente associado à injeção de código ou manipulação de memória em sistemas Linux. A telemetria inclui rastreamento de syscalls via auditd, análise de uso de `ptrace` por processos não depuradores e monitoramento de operações `mmap` com permissões de execução suspeitas. Esta analítica é relevante para detectar injeção de processo em Linux, técnica utilizada por RATs e implantes para ocultar código malicioso dentro de processos legítimos e evitar detecção. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1055-process-injection|T1055 — Process Injection]] - [[t1106-native-api|T1106 — Native API]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1466](https://attack.mitre.org/detectionstrategies/DET0529#AN1466)*