# AN1529 — Analytic 1529 ## Descrição Este analítico detecta criação anormal de arquivos binários com tamanho significativamente acima do esperado que são subsequentemente executados ou acessados por usuários não padronizados no Linux, característica de binários com padding artificial para evasão de sandboxes. A telemetria é obtida via auditd, inotify ou agentes EDR que registram eventos de criação de arquivo com tamanho, UID do processo criador e subsequentes chamadas `execve` ou `open` em contextos não habituais. A detecção é relevante para identificar droppers e loaders que empregam técnicas de obfuscação baseadas em tamanho para contornar análise estática automatizada em ambientes Linux. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1027-001-binary-padding|T1027.001 — Binary Padding]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1036-masquerading|T1036 — Masquerading]] --- *Fonte: [MITRE ATT&CK — AN1529](https://attack.mitre.org/detectionstrategies/DET0553#AN1529)*