# AN1154 — Analytic 1154 ## Descrição Detecta leitura de arquivos sensíveis como `.bash_history`, `/etc/shadow` ou diretórios de chaves privadas por usuários não autorizados ou processos incomuns. A telemetria utilizada inclui auditd com regras para leitura de arquivos sensíveis (AUDIT_OPEN, AUDIT_READ), logs de inotify e monitoramento de processos para correlacionar quais processos e usuários acessam artefatos de credenciais. Essa detecção é fundamental em ambientes Linux porque credenciais armazenadas em arquivos de configuração, histórico de shell e chaves SSH são alvos frequentes em ataques de pós-comprometimento para escalonamento de privilégios e movimentação lateral. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1154](https://attack.mitre.org/detectionstrategies/DET0412#AN1154)*