# AN0106 — Analytic 0106 ## Descrição Detecta tentativas de acesso a armazenamentos de credenciais de navegadores no Linux, como o arquivo logins.json do Firefox ou o banco de dados SQLite do Chrome, bem como inspecção de processos como gnome-keyring-daemon usando ptrace ou gdb. A telemetria inclui logs do auditd para monitorar abertura de arquivos de banco de dados de credenciais, chamadas de sistema ptrace e comandos de depuração, correlacionados com processos sem relação com o navegador. Este analítico é importante para detectar campanhas que visam credenciais armazenadas em estações Linux, cada vez mais utilizadas em ambientes corporativos e de desenvolvimento. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1056-input-capture|T1056 — Input Capture]] --- *Fonte: [MITRE ATT&CK — AN0106](https://attack.mitre.org/detectionstrategies/DET0037#AN0106)*