# AN1071 — Analytic 1071 ## Descrição Este analítico detecta adversários usando scripts bash ou ferramentas para enumerar recursivamente diretórios home de usuários, arquivos de configuração ou chaves SSH em sistemas Linux. Utiliza telemetria de `auditd` (monitoramento de syscalls `open`, `read`, `stat`) e eBPF para identificar padrões de acesso sistemático a arquivos sensíveis fora de contexto legítimo. A detecção é relevante porque a coleta de chaves SSH e arquivos de configuração é frequentemente o objetivo inicial em comprometimentos de servidores Linux, permitindo movimentação lateral sem credenciais adicionais. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1119-automated-collection|T1119 — Automated Collection]] --- *Fonte: [MITRE ATT&CK — AN1071](https://attack.mitre.org/detectionstrategies/DET0380#AN1071)*