# AN0720 — Analytic 0720 ## Descrição Detecta credenciais injetadas em arquivos de sessão de browser, headers de curl/wget ou caches de token em memória em sistemas Linux, utilizando auditd para rastrear processos acessando arquivos sensíveis como `~/.mozilla`, `~/.config/chromium` e `~/.aws/credentials` correlacionados com conexões de saída suspeitas. A telemetria inclui auditd (monitoramento de acesso a diretórios de perfil de browser e credenciais de cloud), logs de rede e histórico de bash que identificam processos não pertencentes ao browser acessando stores de cookies ou credenciais de nuvem seguidos de chamadas de API autenticadas anômalas. Essa analítica é relevante para detectar roubo de sessão em ambientes Linux onde desenvolvedores utilizam browsers e CLIs de cloud com credenciais de longa duração armazenadas localmente. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1606-forge-web-credentials|T1606 — Forge Web Credentials]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN0720](https://attack.mitre.org/detectionstrategies/DET0260#AN0720)*