# AN1234 — Analytic 1234 ## Descrição Detecta tentativas de adversários de ler arquivos sensíveis como /etc/passwd e /etc/shadow para extração de credenciais no Linux. A telemetria inclui eventos de auditoria do kernel para acesso de leitura em caminhos sensíveis, execução de utilitários de linha de comando como cat ou less sobre esses arquivos e correlação com comportamentos anômalos de usuários não-root. Essa análise é fundamental para identificar a fase inicial de comprometimento de credenciais que precede movimentação lateral e escalada de privilégios. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1003.008-etc-passwd-and-etc-shadow|T1003.008 — /etc/passwd and /etc/shadow]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN1234](https://attack.mitre.org/detectionstrategies/DET0446#AN1234)*