# AN0860 — Analytic 0860 ## Descrição Esta analítica detecta acesso a arquivos locais de credenciais ou configuração (como `~/.aws/credentials`) seguido de chamadas à API de metadados ou assunção de roles em nuvem. A telemetria utilizada inclui CloudTrail para eventos de STS AssumeRole e GetCallerIdentity, correlacionados com acesso prévio a arquivos de configuração de CLI detectado por agentes no endpoint. Esta detecção é fundamental para identificar ataques de credential harvesting em instâncias EC2 e workloads IaaS, onde adversários coletam credenciais de longa duração armazenadas localmente para assumir roles privilegiadas na conta cloud da organização. **Plataformas:** IaaS --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1552-001-credentials-in-files|T1552.001 — Credentials In Files]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] --- *Fonte: [MITRE ATT&CK — AN0860](https://attack.mitre.org/detectionstrategies/DET0307#AN0860)*