# AN0866 — Analytic 0866 ## Descrição Esta analítica detecta uso inesperado de `usermod`, `gpasswd` ou modificação direta do `/etc/group` para elevar a associação de grupo de usuários em sistemas Linux. A telemetria utilizada inclui logs auditd monitorando execução desses utilitários e escritas no arquivo `/etc/group`, correlacionados com contexto de usuário e autenticação recente. Esta detecção é relevante para identificar escalonamento de privilégios pós-comprometimento em servidores Linux, onde adversários adicionam contas de usuário comprometidas ao grupo `sudo` ou `wheel` para obter capacidades de administração persistentes. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1136-create-account|T1136 — Create Account]] - [[t1078-001-default-accounts|T1078.001 — Default Accounts]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] --- *Fonte: [MITRE ATT&CK — AN0866](https://attack.mitre.org/detectionstrategies/DET0310#AN0866)*