det0111-detect-unsecured-credentials-shared-in-chat-messages

# DET0111 — Detect Unsecured Credentials Shared in Chat Messages ## Descrição Esta estratégia detecta credenciais e segredos compartilhados em texto claro em plataformas de mensagens corporativas como Slack, Microsoft Teams, Mattermost e Discord. Funcionários frequentemente compartilham senhas, chaves de API, tokens OAuth, strings de conexão de banco de dados e certificados em canais de chat — criando um repositório de credenciais acessível a qualquer pessoa com acesso ao canal, incluindo adversários que comprometem uma única conta. A detecção é baseada em análise de conteúdo de mensagens via DLP (Data Loss Prevention) integrada às plataformas ou via integração de API. Padrões regex identificam formatos conhecidos: senhas inline (`password=`, `passwd:`, `pwd:`), chaves de API de serviços comuns (AWS `AKIA[A-Z0-9]{16}`, GCP service account JSON, GitHub `ghp_`), strings de conexão de banco (`mysql://user:pass@host`), e certificados/chaves privadas (bloco `-----BEGIN RSA PRIVATE KEY-----`). Adversários que comprometem contas de usuário frequentemente buscam histórico de mensagens em Slack e Teams como primeira ação — o canal `#devops` e `#infra` são alvos clássicos de credential harvesting interno. A estratégia deve cobrir tanto detecção em tempo real (prevenção de compartilhamento) quanto análise histórica de mensagens em casos de comprometimento de conta. Incidentes como a violação do Uber em 2022 envolveram credenciais encontradas em canais Slack. ## Indicadores de Detecção - Mensagem contendo padrões regex de chave AWS (`AKIA[A-Z0-9]{16}`), GitHub token (`ghp_[A-Za-z0-9]{36}`), ou Azure secret - Texto com formato de string de conexão de banco de dados (`postgresql://`, `mysql://`, `mongodb://` com credenciais inline) - Bloco PEM em mensagem (`-----BEGIN [RSA/EC/DSA] PRIVATE KEY-----`) - Mensagem com padrões `password=`, `senha=`, `pass:`, `secret:` seguidos de valor não-placeholder - Arquivo anexado com extensão `.env`, `.pem`, `.key`, `.pfx`, `credentials.json` em canal de chat - Busca massiva no histórico de mensagens por termos de credencial após logon de novo IP (indicativo de adversário) ## Técnicas Relacionadas - [[t1552-unsecured-credentials]] — Técnica principal - [[t1552005-cloud-instance-metadata-api]] — Credenciais cloud como subtipo - [[t1530-data-from-cloud-storage]] — Busca em repositórios cloud por credenciais - [[t1213-data-from-information-repositories]] — Coleta de dados de repositórios - [[t1078-valid-accounts]] — Uso das credenciais encontradas ## Analytics Relacionadas - [[an0309-analytic-0309|AN0309 — Analytic 0309]] - [[an0310-analytic-0310|AN0310 — Analytic 0310]] --- *Fonte: [MITRE ATT&CK — DET0111](https://attack.mitre.org/detectionstrategies/DET0111)*