# AN0157 — Analytic 0157 ## Descrição Detecta adversários que tentam anexar depuradores ou utilitários de dump de memória a daemons de armazenamento de credenciais no Linux (análogos ao securityd do macOS), observando chamadas de sistema ptrace, acesso a /proc/<pid>/mem, ou dumps gcore contra processos sensíveis como gnome-keyring-daemon ou kwallet. A telemetria inclui logs do auditd para monitorar chamadas de sistema ptrace e open de /proc/<pid>/mem de processos alvo, correlação com tentativas de escalação de privilégio ou acesso anômalo como root, e análise de padrões de acesso a memória de processos gerenciadores de credenciais. Este analítico detecta ataques de credential dumping em estações Linux que visam extrair senhas armazenadas em gerenciadores de chave do sistema operacional, comum em ataques pós-exploração contra ambientes Linux corporativos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN0157](https://attack.mitre.org/detectionstrategies/DET0057#AN0157)*