# AN0546 — Analytic 0546 ## Descrição Este analítico detecta modificações em módulos PAM ou remoção de hooks de MFA em configurações `/etc/pam.d/` no Linux, correlacionadas com autenticações bem-sucedidas que não solicitaram prompts de MFA. A telemetria inclui auditd monitorando alterações em arquivos `/etc/pam.d/`, logs de autenticação PAM em `/var/log/auth.log`, FIM (File Integrity Monitoring) para módulos PAM e correlação com logins bem-sucedidos sem entrada de segundo fator. Modificações em configurações PAM são uma técnica persistente e discreta usada para enfraquecer a autenticação em sistemas Linux, muitas vezes instalada como parte de kits de rootkit. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0546](https://attack.mitre.org/detectionstrategies/DET0190#AN0546)*