# AN1562 — Analytic 1562 ## Descrição Este analítico detecta processos executando comandos para consultar configurações de locale e idioma do sistema Linux, como `locale`, `echo $LANG` ou parsing de variáveis de ambiente, quando esses comandos são executados por usuários incomuns, scripts de automação ou processos não administrativos que não deveriam precisar dessas informações. A telemetria provém de auditd que registra eventos `EXECVE` com argumentos completos e contexto de usuário (UID, PPID), permitindo identificar quando scripts ou binários anômalos consultam o idioma do sistema como parte de válidação de ambiente alvo. A relevância é similar ao Windows: malware Linux com lógica de seleção geográfica consulta configurações de locale para determinar se deve ou não executar sua payload destrutiva no sistema comprometido. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1614-001-system-language-discovery|T1614.001 — System Language Discovery]] - [[t1614-system-location-discovery|T1614 — System Location Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN1562](https://attack.mitre.org/detectionstrategies/DET0565#AN1562)*