# AN1596 — Analytic 1596 ## Descrição Detecta tentativas de enumerar módulos do kernel por meio de `lsmod`, `modinfo` ou inspeção de `/proc/modules` e entradas em `/dev`, com foco em contextos de execução incomuns, como usuários sem privilégios ou processos fora dos fluxos administrativos esperados. A telemetria inclui logs de auditoria do Linux (auditd), eventos de acesso a arquivos do sistema e execução de processos correlacionados ao contexto de usuário. Adversários realizam essa enumeração para identificar módulos de kernel vulneráveis ou ausentes que possam ser explorados para rootkits ou escalada de privilégios a nível de kernel. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1518-software-discovery|T1518 — Software Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN1596](https://attack.mitre.org/detectionstrategies/DET0579#AN1596)*