# AN0318 — Analytic 0318 ## Descrição Esta analítica detecta a enumeração de grupos locais usando binários comuns (`groups`, `getent`, `cat /etc/group`) ou scripts com linhagem suspeita em sistemas Linux. A telemetria inclui logs de auditd para execução desses binários com argumentos de listagem de grupos e análise de linhagem de processo para identificar execuções originadas de shells ou processos não interativos. A detecção é relevante pois a enumeração de grupos no Linux precede ataques de escalada de privilégios, onde adversários buscam membros de grupos privilegiados como `sudo`, `docker` ou `lxd` para explorar. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1069-001-local-groups|T1069.001 — Local Groups]] - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0318](https://attack.mitre.org/detectionstrategies/DET0114#AN0318)*