# AN0649 — Analytic 0649 ## Descrição Detecta processos que abrem `/proc/*/mem` ou `/proc/*/maps` visando serviços que armazenam credenciais, como sshd ou login, com comportamento frequentemente associado a escalada de privilégios e uso de ferramentas de inspeção de memória como `gcore` ou `gdb`. A telemetria inclui auditd (regras de acesso a caminhos /proc), logs do kernel e registros de execução de processos que identificam leitores de memória operando sobre PIDs de processos críticos. Essa detecção é relevante pois a leitura direta de memória de processos autenticadores é uma técnica utilizada por adversários para extrair credenciais sem acionar alertas de ferramentas convencionais de dump. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN0649](https://attack.mitre.org/detectionstrategies/DET0234#AN0649)*