# AN1239 — Analytic 1239 ## Descrição Detecta criação de contas em um container em execução (por exemplo, via useradd ou modificação direta de /etc/passwd), identificável via telemetria de runtime como Falco ou hooks eBPF. A telemetria inclui eventos de chamadas de sistema monitorados por agentes de segurança de container e alterações em arquivos de configuração de usuários dentro do namespace do container. Essa análise é importante para detectar adversários que escalam privilégios dentro de containers ou criam contas para persistência em ambientes orquestrados. **Plataformas:** Containers ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1136.001-local-account|T1136.001 — Local Account]] - [[t1610-deploy-container|T1610 — Deploy Container]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN1239](https://attack.mitre.org/detectionstrategies/DET0447#AN1239)*