# AN1516 — Analytic 1516 ## Descrição Detecta um processo não-sistema ou iniciado pelo usuário acessando arquivos de chave privada em caminhos de perfil de usuário ou repositórios de certificados do sistema, seguido de potenciais conexões de rede ou atividade de compressão em Windows. A telemetria inclui eventos de acesso a arquivos (Sysmon EventID 11), eventos de conexão de rede subsequentes e análise de processos acessando diretórios de armazenamento de certificados como `%APPDATA%\Microsoft\Certificates` ou `%USERPROFILE%\.ssh`. Esta analítica é importante para detectar roubo de chaves privadas SSH e certificados digitais, material criptográfico que permite acesso persistente e assinatura de código malicioso. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1588-obtain-capabilities|T1588 — Obtain Capabilities]] --- *Fonte: [MITRE ATT&CK — AN1516](https://attack.mitre.org/detectionstrategies/DET0549#AN1516)*