# AN1613 — Analytic 1613 ## Descrição Esta analítica detecta enumeração de usuários e grupos em Linux por meio de comandos shell suspeitos (`id`, `getent`, `cat /etc/passwd`, `getent group`) ou acesso não autorizado aos arquivos `/etc/passwd` ou `/etc/shadow`, padrões comuns durante reconhecimento pós-comprometimento. A telemetria primária é o `auditd` configurado para monitorar leituras dos arquivos de contas do sistema e execução de comandos de enumeração por usuários não root em horários atípicos. Esta detecção importa porque a enumeração de usuários Linux é um passo preparatório para ataques de escalonamento de privilégios e criação de backdoors através de contas existentes. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] --- *Fonte: [MITRE ATT&CK — AN1613](https://attack.mitre.org/detectionstrategies/DET0587#AN1613)*