# AN0142 — Analytic 0142 ## Descrição Detecta execuções de comando correlacionadas com sudo com effective user ID elevado (euid=0), especialmente quando tty_tickets está desativado ou timestamp_timeout está sendo abusado para extender a janela de autenticação sem nova válidação de senha. A telemetria inclui logs do auditd para rastrear execuções sudo com euid=0, modificações em /etc/sudoers ou /etc/sudoers.d/ para identificar configurações permissivas adicionadas, e correlação com sessões de shell interativo de usuários que normalmente não utilizam sudo. Este analítico é importante para detectar técnicas de escalação de privilégio via abuso da configuração do sudo, frequentemente utilizada por malware Linux e atacantes que comprometem contas de usuário padrão como ponto de entrada inicial. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1136-create-account|T1136 — Create Account]] --- *Fonte: [MITRE ATT&CK — AN0142](https://attack.mitre.org/detectionstrategies/DET0052#AN0142)*