# AN0494 — Analytic 0494 ## Descrição Este analítico detecta exploração de daemons de autenticação ou módulos PAM no Linux, identificando autenticações PAM falhas ou anômalas, segfaults inesperados em serviços de autenticação e tentativas de exploração seguidas de logins não autorizados bem-sucedidos. A telemetria inclui logs do PAM em `/var/log/auth.log`, logs do syslog, eventos do auditd e dados de coredump de processos de autenticação. A detecção é essencial para identificar ataques que comprometem o próprio subsistema de autenticação do Linux, permitindo escalação de privilégios furtiva sem deixar rastros nos mecanismos tradicionais de log. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] --- *Fonte: [MITRE ATT&CK — AN0494](https://attack.mitre.org/detectionstrategies/DET0174#AN0494)*