# AN0335 — Analytic 0335 ## Descrição Detecta alterações de senha ou exclusões de conta via `passwd`, `userdel` ou `chage` precedidas por shell interativo ou execução de comando remoto a partir de contas sem privilégios. A telemetria inclui logs do auditd com syscalls de modificação de arquivos em `/etc/passwd` e `/etc/shadow`, além de registros de sessão de terminal. Essa analítica é importante para identificar adversários que removem contas de administração ou alteram credenciais para impedir recuperação de acesso por equipes de resposta a incidentes. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1531-account-access-removal|T1531 — Account Access Removal]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0335](https://attack.mitre.org/detectionstrategies/DET0120#AN0335)*