# AN1576 — Analytic 1576 ## Descrição Detecta criação ou modificação de unidades de serviço `systemd`, adição de tarefas cron que invocam binários na inicialização, ou escritas suspeitas em `/etc/init.d/`. Monitora execuções de `chmod +x` e caminhos de execução do `systemctl`, especialmente a partir de processos pai não root. A telemetria é obtida via auditd, inotify e logs de sistema, sendo fundamental para identificar mecanismos de persistência instalados por adversários que comprometeram hosts Linux. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1576](https://attack.mitre.org/detectionstrategies/DET0571#AN1576)*