# AN0390 — Analytic 0390 ## Descrição Detecta interceptação de credenciais via bibliotecas compartilhadas maliciosas carregadas via `LD_PRELOAD` em processos como `ssh`, `sudo` ou `scp`, correlacionando injeção de variáveis de ambiente, carregamentos de biblioteca inesperados e comportamento de patching de memória. A telemetria inclui monitoramento de variáveis de ambiente `LD_PRELOAD` via auditd, análise de carregamento de bibliotecas em processos sensíveis e detecção de modificações de memória em processos de autenticação. Essa analítica é crítica porque o abuso de `LD_PRELOAD` é uma das técnicas mais eficazes para interceptar credenciais em Linux, pois atua antes da execução do processo alvo e pode capturar senhas em texto claro antes de qualquer cifração. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1056-input-capture|T1056 — Input Capture]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN0390](https://attack.mitre.org/detectionstrategies/DET0139#AN0390)*