# AN0875 — Analytic 0875 ## Descrição Esta analítica detecta execução suspeita de ferramentas de monitoramento de rede como Wireshark, tshark e Microsoft Message Analyzer, carregamento de driver indicativo de modo promíscuo, ou escalonamento de privilégios de usuário não-admin para acessar NICs para captura de pacotes. A telemetria utilizada inclui logs do Sysmon (Event IDs 1, 6 para carregamento de drivers) e logs de segurança do Windows para monitorar execução de ferramentas de captura e escalação de privilégios necessária para acesso promíscuo. Esta detecção é relevante para identificar adversários realizando sniffing de rede em sistemas Windows comprometidos para coletar credenciais transmitidas em texto claro ou interceptar tráfego de protocolo legado ainda comum em redes corporativas brasileiras. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN0875](https://attack.mitre.org/detectionstrategies/DET0314#AN0875)*