# AN0351 — Analytic 0351 ## Descrição Detecta inserção de chaves públicas em `authorized_keys` usando bash/zsh ou ferramentas de edição de texto, correlacionada com ancestralidade de processo suspeita. A telemetria inclui eventos do Endpoint Security Framework para modificações em `~/.ssh/authorized_keys`, análise de linhagem de processos e registros de sessão de terminal. Essa analítica é fundamental para identificar adversários que implantam backdoors SSH em sistemas macOS para garantir acesso remoto persistente sem autenticação por senha. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0351](https://attack.mitre.org/detectionstrategies/DET0126#AN0351)*