# AN1638 — Analytic 1638 ## Descrição Esta analítica detecta login SSH remoto via `sshd` seguido de execução de binários suspeitos no contexto do usuário autenticado ou comportamento de escalonamento de privilégios, padrão indicativo de acesso inicial ou movimento lateral via SSH com credenciais comprometidas. A telemetria inclui logs de autenticação SSH (`/var/log/auth.log`, `/var/log/secure`), correlacionados via `auditd` com comandos executados pela sessão SSH subsequentemente, especialmente execuções de escalada de privilégios (`sudo`, `su`, `SUID binaries`). Esta detecção é importante porque SSH com credenciais válidas comprometidas é um dos vetores de acesso inicial e movimento lateral mais comuns em incidentes envolvendo servidores Linux. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1638](https://attack.mitre.org/detectionstrategies/DET0596#AN1638)*