# AN1085 — Analytic 1085 ## Descrição Este analítico detecta um processo fora do contexto de shell interativo que lê diretamente o arquivo `~/.bash_history` (usando `cat`, `less`, `grep`), frequentemente ocorrendo logo após escalonamento de privilégios ou troca de usuário (via `su`/`sudo`). Este comportamento pode ser seguido de varredura de credenciais na memória ou gravação de arquivos em novos locais. Utiliza telemetria de `auditd` (monitoramento de acesso a arquivos específicos) e análise de linhagem de processos para correlacionar acesso ao histórico com atividade suspeita pós-comprometimento. A detecção é importante porque atacantes leem o histórico de comandos para descobrir credenciais, IPs internos e padrões de administração usados pelos usuários legítimos. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1085](https://attack.mitre.org/detectionstrategies/DET0385#AN1085)*