# AN0266 — Analytic 0266 ## Descrição Esta analítica detecta o uso de ferramentas nativas ou scripts como `usermod`, `passwd` e `groupmod` para escalar permissões ou manter acesso persistente em usuários existentes, correlacionado com eventos de login ou criação de processos. A telemetria inclui logs de auditd monitorando syscalls de modificação de usuários e grupos, além de logs de autenticação PAM (`/var/log/auth.log`). A detecção é relevante pois a modificação de contas existentes é técnica preferida de adversários para evitar detecção, sendo mais furtiva do que criar novas contas em sistemas Linux comprometidos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-003-local-accounts|T1078.003 — Local Accounts]] - [[t1548-001-setuid-and-setgid|T1548.001 — Setuid and Setgid]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0266](https://attack.mitre.org/detectionstrategies/DET0096#AN0266)*