# AN1555 — Analytic 1555 ## Descrição Este analítico detecta manipulação de variáveis de ambiente de histórico de shell no Linux (`HISTFILE`, `HISTCONTROL`, `HISTFILESIZE`) e ausência de gravações esperadas no histórico bash, correlacionando variáveis de histórico zeradas ou desativadas com sessões de shell ativas como indicador de evasão adversarial. A telemetria é obtida via auditd que registra eventos `ENVIRON` e `EXECVE`, capturando quando processos modificam variáveis de ambiente críticas de histórico, além de monitoramento de integridade de arquivo em `~/.bash_history`. A relevância para detecção é alta pois a supressão do histórico de shell é uma técnica padrão de evasão usada por adversários pós-comprometimento para cobrir rastros de comandos executados, dificultando a investigação forense. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1562-006-indicator-blocking|T1562.006 — Impair Defenses: Indicator Blocking]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] --- *Fonte: [MITRE ATT&CK — AN1555](https://attack.mitre.org/detectionstrategies/DET0563#AN1555)*