# AN1605 — Analytic 1605 ## Descrição Esta analítica detecta criação de usuários locais em Linux via comandos `useradd`, `adduser` ou scripts equivalentes executados por adversários para estabelecer persistência no sistema. A telemetria utilizada inclui logs de execução de comandos (`auditd`), rastreamento de modificações nos arquivos `/etc/passwd` e `/etc/shadow`, e alertas de integridade de arquivos críticos do sistema. Esta detecção é relevante porque a adição não autorizada de contas locais é um método frequente de backdoor em servidores comprometidos, especialmente após escalonamento de privilégios. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1136-create-account|T1136 — Create Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] --- *Fonte: [MITRE ATT&CK — AN1605](https://attack.mitre.org/detectionstrategies/DET0583#AN1605)*