# AN0857 — Analytic 0857 ## Descrição Esta analítica detecta leituras de arquivos ou execuções de processos envolvendo arquivos de credenciais armazenados de forma insegura (como arquivos de configuração com campos de senha) por usuários não-root ou anômalos, seguidos de tentativas de autenticação SSH. A telemetria utilizada inclui logs auditd monitorando leituras de arquivos de configuração sensíveis (como `.env`, `config.yaml`, `wp-config.php`) por processos incomuns, correlacionados com eventos de autenticação SSH subsequentes. Esta detecção é fundamental para identificar adversários em servidores Linux que coletam credenciais de serviço de arquivos de configuração para se mover lateralmente pela infraestrutura da organização. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1552-001-credentials-in-files|T1552.001 — Credentials In Files]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1021-002-smb-windows-admin-shares|T1021.004 — SSH]] --- *Fonte: [MITRE ATT&CK — AN0857](https://attack.mitre.org/detectionstrategies/DET0307#AN0857)*