# AN0485 — Analytic 0485 ## Descrição Este analítico detecta atividade de cookies forjados no Linux, identificando modificações não autorizadas em bancos de dados de cookies de navegadores (como `~/.mozilla/firefox/*/cookies.sqlite` ou `~/.config/chromium/Default/Cookies`) ou injeção de tokens de sessão via scripts. A telemetria principal inclui eventos de syscall auditd, logs de acesso a arquivos, e atividade de rede correlacionada com o uso de curl/wget embarcando cookies forjados em cabeçalhos HTTP. Essa técnica permite que adversários reutilizem sessões de usuários legítimos em SaaS ou IaaS sem necessitar de credenciais, tornando a detecção comportamental essencial. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN0485](https://attack.mitre.org/detectionstrategies/DET0171#AN0485)*