# AN0676 — Analytic 0676 ## Descrição Detecta acesso incomum à linha de comando de banco de dados — como `psql`, `mysql` ou `mongo` — por usuários não administradores, fora de janelas de automação típicas ou sem contexto de serviço conhecido, frequentemente seguido de dumps de dados para arquivos `.sql`/`.csv` ou transferências externas. A telemetria inclui auditd (monitoramento de execução dos clientes de banco de dados), logs do bash/shell e logs de rede que identificam a cadeia de: execução do cliente → escrita de arquivo de dump → transferência de dados para destino externo. Essa analítica é relevante para detectar exfiltração de dados de banco de dados, um objetivo frequente em ataques de espionagem corporativa e em campanhas de ransomware que precedem a criptografia com extração de dados para dupla extorsão. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0676](https://attack.mitre.org/detectionstrategies/DET0242#AN0676)*