# AN1544 — Analytic 1544 ## Descrição Este analítico detecta uso indevido de contas válidas no Linux através de logins SSH anômalos, abuso de `sudo`/`su` por contas que normalmente não escalizam privilégios, e anomalias em contas de serviço como acesso interativo fora do horário esperado. A telemetria é obtida via auditd (eventos `USER_AUTH`, `USER_LOGIN`, `USER_CMD`) e logs de autenticação PAM que registram todos os eventos de autenticação e escalonamento de privilégios com UID, PID e contexto de sessão. A relevância para detecção é alta pois adversários comprometendo ambientes Linux frequentemente reutilizam credenciais de contas de serviço para movimento lateral e persistência sem necessidade de explorar vulnerabilidades adicionais. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1078-004-cloud-accounts|T1078.003 — Valid Accounts: Cloud Accounts]] - [[t1021-004-ssh|T1021.004 — Remote Services: SSH]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] --- *Fonte: [MITRE ATT&CK — AN1544](https://attack.mitre.org/detectionstrategies/DET0560#AN1544)*