# AN1337 — Analytic 1337 ## Descrição Detecta falhas de autenticação em contas diferentes usando uma senha repetida ou similar via SSH ou stack PAM dentro de uma janela temporal curta, indicando um ataque de password spraying em sistemas Linux. A telemetria inclui logs de autenticação do sshd (`/var/log/auth.log`, `journald`), eventos PAM de falha de autenticação correlacionados por IP de origem e padrão de senha, e alertas de fail2ban ou soluções similares. Esta detecção é importante para identificar campanhas de password spraying direcionadas a servidores Linux com SSH exposto, onde adversários testam sistematicamente senhas comuns contra múltiplas contas para obter acesso sem acionar bloqueios de conta baseados em falhas repetidas para um único usuário. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1110-003-password-spraying|T1110.003 — Password Spraying]] - [[t1110-brute-force|T1110 — Brute Force]] - [[t1021-004-ssh|T1021.004 — SSH]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1337](https://attack.mitre.org/detectionstrategies/DET0487#AN1337)*