# AN0292 — Analytic 0292 ## Descrição Esta analítica detecta o uso de ferramentas de quebra de hash (como John the Ripper, Hashcat) após dumping de credenciais, combinado com alto uso de CPU/GPU ou invocação de GPU via binários não assinados acessando arquivos de hash de senha. A telemetria inclui logs de criação de processo para binários de hash-cracking, métricas de utilização de CPU/GPU e correlação com eventos anteriores de acesso a arquivos SAM/NTDS. A detecção é relevante pois a quebra offline de hashes é etapa intermediária em ataques de comprometimento de credenciais, frequentemente realizada externamente mas às vezes executada no próprio sistema comprometido por atacantes menos sofisticados. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1110-brute-force|T1110 — Brute Force]] - [[t1110-002-password-cracking|T1110.002 — Password Cracking]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] --- *Fonte: [MITRE ATT&CK — AN0292](https://attack.mitre.org/detectionstrategies/DET0105#AN0292)*