det0307-detect-access-to-unsecured-credential-files-across-platforms

# DET0307 — Detect Access to Unsecured Credential Files Across Platforms ## Descrição Esta estratégia detecta acesso não autorizado a arquivos que armazenam credenciais de forma insegura — sem criptografia ou com proteção inadequada — em Windows, Linux e macOS. Esta é uma das técnicas mais eficazes de coleta de credenciais pois não requer exploração de vulnerabilidades; os dados sensíveis já estão armazenados de forma acessível por erros de configuração ou práticas inseguras de desenvolvimento. Os alvos comuns incluem: arquivos de configuração contendo credenciais em plaintext (`.env`, `config.ini`, `appsettings.json`), arquivos de histórico de shell (`~/.bash_history`, `~/.zsh_history`) com comandos contendo senhas, chaves SSH privadas (`~/.ssh/id_rsa`), arquivos de credenciais de browser (Chrome `Login Data`, Firefox `logins.json`), e arquivos de credenciais de ferramentas como `~/.aws/credentials`, `~/.kube/config`. O acesso a estes arquivos por processos não proprietários é o sinal primário. [[g0032-lazarus-group|Lazarus Group]], [[g0046-fin7|FIN7]] e inúmeros grupos de cybercrime utilizam scripts automatizados para varrer sistemas em busca destes arquivos após comprometimento inicial. Ferramentas de pós-exploração como [[s0349-lazagne|LaZagne]] foram específicamente desenvolvidas para extração sistemática de credenciais de dezenas de fontes diferentes neste padrão. ## Indicadores de Detecção - Leitura de `~/.ssh/id_rsa` ou `~/.ssh/id_ed25519` por processo que não é `ssh` ou agente SSH - Acesso a `%APPDATA%\Local\Google\Chrome\User Data\Default\Login Data` por processo não-Chrome - Leitura de `~/.aws/credentials` ou `~/.kube/config` por processo não-CLI do provedor de cloud - Script varrendo múltiplos diretórios de usuário em busca de arquivos `.env`, `.conf` ou `.ini` - Acesso a `SAM`, `SECURITY` ou `NTDS.dit` por processo não pertencente ao subsistema de autenticação - Leitura de `/etc/shadow` ou `C:\Windows\NTDS\ntds.dit` por processo sem contexto de backup legítimo ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0856-analytic-0856|AN0856 — Analytic 0856]] - [[an0857-analytic-0857|AN0857 — Analytic 0857]] - [[an0858-analytic-0858|AN0858 — Analytic 0858]] - [[an0859-analytic-0859|AN0859 — Analytic 0859]] - [[an0860-analytic-0860|AN0860 — Analytic 0860]] --- *Fonte: [MITRE ATT&CK — DET0307](https://attack.mitre.org/detectionstrategies/DET0307)*