# AN1631 — Analytic 1631 ## Descrição Esta analítica monitora acesso adversarial à memória de processos sensíveis via sistema de arquivos `/proc` para extrair credenciais, frequentemente envolvendo acesso multiestágio a `/proc/[pid]/mem` ou `/proc/[pid]/maps` combinado com escalonamento de privilégios ou execução de binários de credential scraping. A telemetria inclui `auditd` monitorando acessos a `/proc/*/mem` e `/proc/*/maps` por processos não filhos, alertas de execução de ferramentas conhecidas de dumping de credenciais (`mimipenguin`, `LaZagne`) e logs de ptrace attach a processos sensíveis. Esta detecção é fundamental em ambientes Linux porque o `/proc` filesystem expõe a memória de processos como arquivos, tornando-se alvo privilegiado para extração de credenciais sem interação direta com LSASS equivalente. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN1631](https://attack.mitre.org/detectionstrategies/DET0593#AN1631)*