# AN1418 — Analytic 1418 ## Descrição Detecta acesso a bancos de dados de credenciais em cache do SSSD ou Quest VAS no Linux utilizando tdbdump ou outros padrões de acesso a arquivos, exigindo privilégios sudo ou root para leitura dos arquivos de banco de dados sensíveis. A telemetria baseia-se em logs de auditoria que registram acesso a caminhos como /var/lib/sss/db/ e execução de ferramentas de inspeção de banco de dados TDB com argumentos sugestivos de dumping de credenciais. Essa detecção é relevante em ambientes Linux integrados a Active Directory via SSSD, onde adversários com acesso root buscam credenciais de domínio em cache para movimentação lateral sem necessidade de comunicação com controladores de domínio. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1003-008-etc-passwd-and-etc-shadow|T1003.008 — /etc/passwd and /etc/shadow]] - [[t1003-cached-domain-credentials|T1003 — OS Credential Dumping]] - [[t1078-003-local-accounts|T1078.003 — Local Accounts]] - [[t1548-001-setuid-and-setgid|T1548.001 — Setuid and Setgid]] --- *Fonte: [MITRE ATT&CK — AN1418](https://attack.mitre.org/detectionstrategies/DET0513#AN1418)*