# AN1517 — Analytic 1517 ## Descrição Detecta acesso de usuários ou scripts ao diretório `~/.ssh` ou outros diretórios contendo chaves privadas em Linux, seguido de atividade de shell incomum ou conexões de rede. A telemetria inclui auditd (syscalls `open`/`read` em arquivos de chave SSH), análise de processos acessando arquivos com extensão `.pem`, `.key` ou sem extensão em `~/.ssh`, e correlação com eventos de conexão SSH de saída subsequentes. Esta analítica é importante para detectar roubo de chaves SSH em Linux, vetor frequentemente explorado em ataques de movimentação lateral após comprometimento inicial, onde uma chave SSH roubada de um servidor pode dar acesso a dezenas de outros sistemas da infraestrutura. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN1517](https://attack.mitre.org/detectionstrategies/DET0549#AN1517)*