# AN0350 — Analytic 0350 ## Descrição Detecta tentativas de adversários de ganhar persistência modificando `~/.ssh/authorized_keys` via shell, editor de texto, `echo` ou redirecionamento de saída. A telemetria inclui auditoria de modificações em arquivos SSH via auditd, logs de acesso de terminal e monitoramento de linhagem de processos que escrevem em arquivos de autorização SSH. Essa analítica é crítica porque a adição de chaves SSH não autorizadas é uma das técnicas de persistência mais utilizadas em servidores Linux, permitindo acesso furtivo de longa duração sem necessidade de credenciais de senha. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0350](https://attack.mitre.org/detectionstrategies/DET0126#AN0350)*