# AN1199 — Analytic 1199 ## Descrição Detecta acesso a arquivos de repositório de senha conhecidos (como `/etc/shadow`, GNOME Keyring, KWallet, bancos de dados de credenciais de browsers), monitorando tentativas anômalas de leitura por processos e chamadas de API suspeitas que tentam extrair credenciais armazenadas. A telemetria inclui auditd com regras para acesso a arquivos de credenciais sensíveis, monitoramento de chamadas de API do GNOME Keyring/KWallet e logs de processos para correlacionar o acesso a repositórios de credenciais com contexto de execução suspeito. Essa detecção é crítica em ambientes Linux corporativos e de estação de trabalho, onde credenciais de browser e de gerenciadores de senha representam um alvo de alto valor para comprometimento em cadeia de contas. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1199](https://attack.mitre.org/detectionstrategies/DET0430#AN1199)*