# AN0352 — Analytic 0352 ## Descrição Detecta abuso de APIs de metadados de nuvem ou CLI para inserir chaves públicas SSH em `authorized_keys` de máquinas virtuais, concedendo acesso backdoor a instâncias comprometidas. A telemetria inclui logs de API de nuvem (AWS CloudTrail, GCP Audit Logs, Azure Activity Log) para operações de modificação de instâncias e chamadas a metadados de VM. Essa analítica é importante para ambientes IaaS porque a adição de chaves SSH via API de nuvem é uma das formas mais furtivas de persistência em instâncias comprometidas, frequentemente usada após escalação de privilégios em IAM. **Plataformas:** IaaS ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] --- *Fonte: [MITRE ATT&CK — AN0352](https://attack.mitre.org/detectionstrategies/DET0126#AN0352)*