# AN1552 — Analytic 1552 ## Descrição Este analítico detecta a cadeia comportamental de válidação de ambiente Linux usada por malware: enumeração intensiva via `uname`, `hostname`, `ifconfig`, `lsblk`, `mount`, reconhecimento de sistema de arquivos em caminhos específicos e configurações de rede, enumeração de processos e usuários para válidar características do ambiente alvo, execução condicional de scripts ou ativação de binários baseada em critérios ambientais, e válidação de conectividade de rede e resolução de IP externo para verificação de geolocalização. A telemetria provém de auditd que registra todos os eventos `EXECVE` com argumentos completos, permitindo identificar sequências rápidas de comandos de descoberta em scripts ou processos não interativos. Essa detecção é crítica para malware Linux sandbox-aware, especialmente backdoors e ransomware que verificam se estão em ambientes de produção antes de executar payloads destrutivas. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1016-system-network-configuration-discovery|T1016 — System Network Configuration Discovery]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN1552](https://attack.mitre.org/detectionstrategies/DET0562#AN1552)*