# AN0288 — Analytic 0288 ## Descrição Esta analítica detecta modificações em arquivos de configuração PAM, adição de novos módulos PAM não autorizados e execução suspeita de processos acessando binários relacionados ao PAM, correlacionando eventos de modificação de arquivo em `/etc/pam.d/` com execução de binários não autorizados. A telemetria inclui logs de auditd para operações de escrita em `/etc/pam.d/`, alertas de monitoramento de integridade de arquivo (FIM) e detecção de carregamento de módulo PAM inesperado. A detecção é fundamental pois módulos PAM maliciosos são técnica de persistência silenciosa que permite ao adversário capturar todas as senhas digitadas no sistema sem modificar o binário de autenticação principal. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1556-003-pluggable-authentication-modules|T1556.003 — Pluggable Authentication Modules]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0288](https://attack.mitre.org/detectionstrategies/DET0104#AN0288)*