# AN0672 — Analytic 0672 ## Descrição Monitora acesso a arquivos em diretórios de certificados, comandos que invocam utilitários OpenSSL ou PKCS#12 para exportar ou modificar certificados, e processos que acessam caminhos sensíveis de armazenamento de chaves em Linux. A telemetria inclui auditd (monitoramento de acesso a `/etc/ssl/`, `/home/*/.ssl/`, `/etc/pki/`), logs de execução de processos e histórico de comandos que identificam uso não autorizado de ferramentas de gerenciamento de certificados. Essa analítica é relevante pois a exportação de certificados e chaves privadas em sistemas Linux pode permitir ao adversário impersonar servidores, descriptografar tráfego TLS capturado ou forjar autenticação mTLS em ambientes de microsserviços. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1649-steal-or-forge-authentication-certificates|T1649 — Steal or Forge Authentication Certificates]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] --- *Fonte: [MITRE ATT&CK — AN0672](https://attack.mitre.org/detectionstrategies/DET0240#AN0672)*