# AN1250 — Analytic 1250 ## Descrição Detecta modificações não autorizadas em arquivos de configuração do PAM ou módulos de objeto compartilhado, correlacionando eventos de modificação de arquivo em /etc/pam.d/ ou /lib/security/ com atividade de autenticação incomum. A telemetria inclui eventos de auditoria do kernel para modificações em arquivos PAM, logs de autenticação do sistema e correlação com logins simultâneos múltiplos, logins fora do horário comercial ou logons sem acesso físico ou VPN correspondente. Essa análise é crítica para detectar backdoors de autenticação que permitem que adversários se autentiquem com qualquer senha ou contornem completamente a autenticação. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1556.003-pluggable-authentication-modules|T1556.003 — Pluggable Authentication Modules]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1250](https://attack.mitre.org/detectionstrategies/DET0454#AN1250)*