# AN0354 — Analytic 0354 ## Descrição Detecta uso de comandos CLI como `ip ssh pubkey-chain` para vincular chaves SSH a contas privilegiadas em roteadores ou switches de rede. A telemetria inclui logs de configuração de dispositivos de rede via TACACS+/RADIUS, syslog de comandos executados e comparação de configuração com baseline aprovado. Essa analítica é importante para infraestrutura de rede crítica, pois a adição não autorizada de chaves SSH a dispositivos de rede fornece backdoor persistente que sobrevive a trocas de senha e pode ser usada para interceptação de tráfego e pivotamento de rede. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] --- *Fonte: [MITRE ATT&CK — AN0354](https://attack.mitre.org/detectionstrategies/DET0126#AN0354)*