# AN1642 — Analytic 1642 ## Descrição Esta analítica detecta acesso suspeito a cofres de gerenciadores de senhas em Linux (KeePassXC, gnome-keyring, `pass`) via scraping de memória ou leituras não autorizadas de arquivos, incluindo uso incomum de ferramentas de depuração como `gdb` ou `strace` anexadas a processos de gerenciamento de senhas. A telemetria inclui `auditd` monitorando execuções de `gdb` e `strace` com PIDs de processos de gerenciadores de senhas como argumento, acesso a arquivos `.kdbx` ou ao keyring do GNOME por processos inesperados, e alertas de ptrace attach via syscall audit. Esta detecção é relevante porque credenciais armazenadas localmente em Linux são frequentemente o próximo alvo após comprometimento inicial via exploit ou phishing. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1056-input-capture|T1056 — Input Capture]] --- *Fonte: [MITRE ATT&CK — AN1642](https://attack.mitre.org/detectionstrategies/DET0597#AN1642)*