# AN1236 — Analytic 1236 ## Descrição Detecta criação de contas de usuário local no Linux via binários como useradd e adduser, ou por edição direta dos arquivos passwd/shadow. A telemetria inclui eventos de execução de binários de gerenciamento de usuários e modificações nos arquivos de banco de dados de usuários do sistema. Essa análise é importante para detectar criação não autorizada de contas que adversários utilizam para manter acesso persistente e se autenticar após reinicializações ou rotações de credenciais. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1136.001-local-account|T1136.001 — Local Account]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1236](https://attack.mitre.org/detectionstrategies/DET0447#AN1236)*