# AN0456 — Analytic 0456 ## Descrição Detecta cadeia de reconhecimento de política de senha Linux: execução interativa/não-interativa de `chage -l`, leitura via `grep`/`cat` de configurações PAM (`/etc/pam.d/common-password`, `/etc/security/pwquality.conf`) e `/etc/login.defs`, seguida do mesmo usuário realizando enumeração de contas ou tentativas de mudança de senha em curto período. A telemetria necessária inclui auditd com rastreamento de execução de `execve` e eventos de leitura de arquivos de configuração de autenticação, coleta de histórico de shell para correlação de sessão e análise de sequência de comandos por usuário. Essa detecção é relevante porque em servidores Linux, a consulta de política de senha frequentemente precede ataques de força bruta locais, escalada de privilégios via exploração de senhas fracas ou spray de senhas em serviços de rede. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1201-password-policy-discovery|T1201 — Password Policy Discovery]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1087-account-discovery|T1087 — Account Discovery]] --- *Fonte: [MITRE ATT&CK — AN0456](https://attack.mitre.org/detectionstrategies/DET0161#AN0456)*