# AN1627 — Analytic 1627 ## Descrição Esta analítica detecta uso de comandos de alteração de timestamps como `touch -a -m -t` ou `touch -r` em Linux, especialmente quando executados por usuários inesperados ou em diretórios sensíveis como `/etc/`, `/usr/bin/` ou diretórios de logs, indicativo de técnica de evasão forense. A telemetria é fornecida pelo `auditd` monitorando execuções do comando `touch` com flags de modificação de tempo, correlacionadas com o usuário executor, diretório de destino e processos pai associados. Esta detecção é relevante porque adversários que comprometem servidores Linux frequentemente alteram timestamps de arquivos de malware ou scripts para coincidir com arquivos legítimos do sistema e dificultar análises de linha do tempo. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] --- *Fonte: [MITRE ATT&CK — AN1627](https://attack.mitre.org/detectionstrategies/DET0591#AN1627)*