# AN0955 — Analytic 0955 ## Descrição Detecta tokens de acesso ou chaves SSH utilizados sem atividade correspondente de shell de login ou módulo PAM, especialmente para execução remota. A telemetria inclui logs de autenticação SSH (`/var/log/auth.log`), eventos de PAM, rastreamento de sessões de usuário e análise de anomalias entre uso de credenciais e presença de sessão interativa. Esse padrão é característico de movimentação lateral automatizada ou uso de credenciais roubadas para acesso não interativo a servidores Linux. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] --- *Fonte: [MITRE ATT&CK — AN0955](https://attack.mitre.org/detectionstrategies/DET0338#AN0955)*