# AN1002 — Analytic 1002 ## Descrição Este analítico detecta o uso de `gsettings` ou modificações diretas no Display Manager do Linux para ocultar usuários da tela de login do greeter, especialmente execuções anômalas de comandos que modificam `org.gnome.login-screen` ou outras configurações do greeter sem contexto administrativo legítimo. A telemetria utilizada inclui logs do auditd para execução de `gsettings`, modificações em arquivos de configuração do GDM/LightDM em `/etc/gdm3/` ou `/etc/lightdm/` e eventos de criação/modificação de conta de usuário correlacionados com alterações de configuração. A detecção é relevante para identificar backdoors de acesso remoto em sistemas Linux desktop e servidores com interface gráfica, onde contas ocultas permitem acesso persistente sem auditoria visível. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1136-create-account|T1136 — Create Account]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1543-create-or-modify-system-process|T1543 — Create or Modify System Process]] --- *Fonte: [MITRE ATT&CK — AN1002](https://attack.mitre.org/detectionstrategies/DET0353#AN1002)*