# AN0876 — Analytic 0876 ## Descrição Esta analítica correlaciona mudanças no modo de interface de rede para promíscuo com a execução de ferramentas de sniffing como tcpdump, tshark ou bibliotecas pcap customizadas. A telemetria utilizada inclui logs auditd para syscalls de mudança de flags de interface de rede (PROMISC) e execução de ferramentas de captura, além de monitoramento de carregamento de módulos do kernel relacionados a captura de pacotes. Esta detecção é relevante para identificar sniffing de rede não autorizado em servidores Linux, onde adversários usam sessões de rede promíscuas para interceptar credenciais de serviços como LDAP, FTP e protocolos de gerenciamento internos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0876](https://attack.mitre.org/detectionstrategies/DET0314#AN0876)*