# AN0293 — Analytic 0293 ## Descrição Esta analítica detecta a execução de binários ou scripts de quebra de hash (como `john`, `hashcat`) após acesso ao arquivo shadow ou a hashes extraídos em sistemas Linux. A telemetria inclui logs de auditd para acesso a `/etc/shadow` correlacionados com execução posterior de ferramentas de quebra de senha conhecidas. A detecção é relevante pois a extração e quebra de hashes do arquivo shadow é técnica fundamental de escalada de privilégios em servidores Linux, usada tanto por atacantes internos quanto por adversários que obtiveram acesso inicial limitado. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1110-002-password-cracking|T1110.002 — Password Cracking]] - [[t1003-008-etc-passwd-and-etc-shadow|T1003.008 — /etc/passwd and /etc/shadow]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1548-001-setuid-and-setgid|T1548.001 — Setuid and Setgid]] --- *Fonte: [MITRE ATT&CK — AN0293](https://attack.mitre.org/detectionstrategies/DET0105#AN0293)*