det0385-detect-access-and-parsing-of-bashhistory-files-for-credential-harvesting

# DET0385 — Detect Access and Parsing of .bash_history Files for Credential Harvesting ## Descrição O arquivo `.bash_history` armazena o histórico de comandos executados pelo usuário em sessões bash, e frequentemente contém credenciais em texto claro inseridas inadvertidamente: senhas passadas como argumentos para `mysql -u root -p senha`, chaves de API em variáveis de ambiente exportadas, comandos `curl` com tokens de autenticação Bearer, conexões SSH com senhas embutidas, e comandos `openssl` com passphrases. Em servidores Linux corporativos, esse arquivo é um alvo de alto valor para adversários que já obtiveram acesso inicial. A técnica é simples mas extremamente eficaz: após obter acesso a um sistema, o adversário lê os arquivos `.bash_history` de todos os usuários com permissão, procurando padrões de credenciais. Em ambientes multi-usuário e servidores de administração (jump servers, bastions), o `.bash_history` de administradores pode conter credenciais para dezenas de sistemas internos. Ferramentas de post-exploitation como [[Metasploit]] (`post/linux/gather/enum_users_history`) e scripts bash customizados automatizam esse processo. A detecção monitora acesso de leitura a arquivos `.bash_history` fora do contexto normal de shell interativo, especialmente quando realizado por processos não-shell, quando arquivos de múltiplos usuários são acessados em sequência, ou quando seguido de parsing por `grep`/`awk` buscando padrões de senha. ## Indicadores de Detecção - Leitura de `.bash_history` por processo que não sejá shell interativo (`bash`, `zsh`) do próprio usuário - `cat`, `grep`, `strings` executados em `/home/*/.bash_history` por conta de serviço ou outro usuário - Acesso sequencial a `.bash_history` de múltiplos usuários diferentes (enumeração de credenciais) - `grep -i password ~/.bash_history` ou `grep -E "(pass|secret|token|key)" ~/.bash_history` - Cópia de arquivos `.bash_history` para diretório de staging (`/tmp/`, `/var/tmp/`) - Processo Python/Perl/Ruby lendo e parseando arquivos `.bash_history` fora de contexto administrativo ## Técnicas Relacionadas - [[T1552003-bash-history|T1552.003 — Bash History]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1005-data-from-local-system|T1005 — Data from Local System]] - [[T1059004-unix-shell|T1059.004 — Unix Shell]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] ## Analytics Relacionadas - [[an1085-analytic-1085|AN1085 — Analytic 1085]] - [[an1086-analytic-1086|AN1086 — Analytic 1086]] --- *Fonte: [MITRE ATT&CK — DET0385](https://attack.mitre.org/detectionstrategies/DET0385)*