det0013-detection-of-local-browser-artifact-access-for-reconnaissance

# DET0013 — Detection of Local Browser Artifact Access for Reconnaissance ## Descrição Esta estratégia detecta acesso a artefatos locais de navegadores web (cookies, histórico, credenciais salvas, sessões) por processos não relacionados ao próprio browser. Atacantes utilizam esses artefatos para roubar sessões autenticadas, extrair credenciais salvas e mapear os sites acessados pela vítima — um rico vetor de reconhecimento interno e roubo de credenciais. Navegadores modernos (Chrome, Firefox, Edge) armazenam dados sensíveis em perfis de usuário em paths conhecidos: `%APPDATA%\Local\Google\Chrome\User Data\Default\` (Windows), `~/Library/Application Support/Google/Chrome/` (macOS). O acesso a arquivos como `Login Data`, `Cookies`, `Web Data` por processos externos ao browser é altamente suspeito. Ferramentas EDR que monitoram acesso a arquivos por processo são a fonte primária. A correlação entre acesso aos arquivos de perfil do browser e subsequente exfiltração de dados (uploads para nuvem, conexões C2) confirma o intent malicioso. ## Indicadores de Detecção - Processo não relacionado a browser acessando `Login Data`, `Cookies` ou `Web Data` em diretórios de perfil de browser - Cópia do arquivo `Login Data` para localização temporária por processo de linha de comando - Acesso ao arquivo SQLite de cookies por ferramenta de administração, script Python ou PowerShell - Processo lendo múltiplos arquivos de perfil de browser em sequência rápida - Acesso a `key4.db` ou `logins.json` (Firefox) por processo externo ao Firefox ## Técnicas Relacionadas - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1217-browser-information-discovery|T1217 — Browser Information Discovery]] ## Analytics Relacionadas - [[an0037-analytic-0037|AN0037 — Analytic 0037]] - [[an0038-analytic-0038|AN0038 — Analytic 0038]] - [[an0039-analytic-0039|AN0039 — Analytic 0039]] --- *Fonte: [MITRE ATT&CK — DET0013](https://attack.mitre.org/detectionstrategies/DET0013)*