# AN1078 — Analytic 1078 ## Descrição Este analítico detecta a criação ou renomeação de contas com nomes que imitam de perto contas de serviço, root ou administrador conhecidas em sistemas Linux. O comportamento frequentemente ocorre após descoberta ou exclusão de contas, na tentativa de se camuflar nos logs de atividade do sistema usando convenções de nomenclatura confiáveis. Utiliza telemetria de `auditd` (monitoramento de `useradd`, `usermod`), análise de `/etc/passwd` e comparação com baseline de contas legítimas. A detecção é relevante porque contas mascaradas em Linux são difíceis de identificar manualmente e fornecem acesso persistente ao adversário. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN1078](https://attack.mitre.org/detectionstrategies/DET0383#AN1078)*