# AN1634 — Analytic 1634 ## Descrição Esta analítica detecta tentativas de exploração de kernel ou espaço de usuário direcionadas a `auditd`, daemons de antivírus ou agentes de monitoramento de segurança em Linux, observáveis por segfaults inesperados, tentativas de escalonamento de privilégios originadas de processos com baixo privilégio, ou modificações em binários de segurança. A telemetria inclui logs do `auditd` para execuções suspeitas em contexto de processos de segurança, alertas de integridade de binários via `aide` ou `tripwire`, e correlação de tentativas de exploração com lacunas subsequentes nos logs de auditoria ou encerramento de processos de monitoramento. Esta detecção é crítica em servidores Linux de alta segurança onde a neutralização do `auditd` elimina a telemetria primária de detecção de intrusão. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1211-exploitation-for-defense-evasion|T1211 — Exploitation for Defense Evasion]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN1634](https://attack.mitre.org/detectionstrategies/DET0595#AN1634)*