# AN1153 — Analytic 1153 ## Descrição Detecta acesso incomum ao histórico bash, caminhos de registro contendo credenciais ou arquivos de chave privada por ferramentas não autorizadas ou de scripting, com correlação de atividade de arquivo e processo. A telemetria inclui eventos de auditoria de acesso a objetos do Windows (Event IDs 4663, 4656), logs do Sysmon para acesso a arquivos e monitoramento de processos para identificar scripts ou executáveis que leem artefatos de credenciais fora do contexto esperado. Essa detecção é relevante porque adversários coletam artefatos de credenciais em disco antes de usar ferramentas de dump de memória mais ruidosas, tornando o monitoramento de acesso a arquivos uma linha de defesa complementar importante. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN1153](https://attack.mitre.org/detectionstrategies/DET0412#AN1153)*