# AN0069 — Analytic 0069 ## Descrição Detecta acesso, cópia ou modificação não autorizada de arquivos de ccache do Kerberos (krb5cc_%UID% ou krb5.ccache) em /tmp ou caminhos personalizados definidos por KRB5CCNAME, correlacionando acesso a arquivo com processos suspeitos (ex: ferramentas de dump de credenciais) e solicitações de autenticação Kerberos anômalas subsequentes de processos não padrão. A telemetria inclui auditd com monitoramento de syscalls de abertura de arquivo em caminhos ccache, análise de tráfego Kerberos (AS-REQ/TGS-REQ) e correlação com processos que não são utilitários Kerberos legítimos. Esse analítico detecta roubo de tickets Kerberos (pass-the-ticket) em Linux, técnica usada por adversários em ambientes com Kerberos integrado (SSSD, FreeIPA) para movimentação lateral sem necessidade de senha. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0069](https://attack.mitre.org/detectionstrategies/DET0024#AN0069)*