det0412-detect-access-or-search-for-unsecured-credentials-across-platforms

# DET0412 — Detect Access or Search for Unsecured Credentials Across Platforms ## Descrição Credenciais não protegidas — senhas em texto claro em arquivos de configuração, variáveis de ambiente, histórico de shell, scripts de automação, arquivos `.git`, repositórios de código e diretórios de usuário — são alvos prioritários de adversários em qualquer fase pós-comprometimento. A busca sistemática por esses artefatos permite escalada de privilégios e movimento lateral sem a necessidade de exploits sofisticados. A detecção abrange múltiplas superfícies: leitura de arquivos como `.bash_history`, `.npmrc`, `web.config`, `appsettings.json`, arquivos `.env`; acesso a credenciais armazenadas em gerenciadores de credenciais do SO; e buscas com palavras-chave como "password", "passwd", "secret", "token" em sistemas de arquivos. O padrão de acesso a múltiplos arquivos de configuração em sequência rápida — especialmente por processos de linha de comando — é um forte indicador comportamental. Em ambientes cloud e DevOps, a busca por credenciais em variáveis de ambiente, metadata services (IMDS da AWS em `169.254.169.254`) e arquivos de configuração de CI/CD é frequentemente o primeiro passo após compromisso inicial. Grupos como [[lapsus-dollar]] e atores de ameaça financeiramente motivados focam extensivamente nessa técnica para obter acesso a ambientes de produção. ## Indicadores de Detecção - Acesso sequencial a múltiplos arquivos `.env`, `*.config`, `*.json` com credenciais por processo de linha de comando - Leitura do arquivo `~/.bash_history`, `~/.zsh_history` ou `C:\Users\*\AppData\Roaming\...\history` por processos não-shell - Consultas ao serviço de metadata de nuvem (`169.254.169.254`) por processos não esperados - Comandos `grep -r password`, `find / -name "*.config"` ou equivalentes em sessões de usuário - Acesso ao Windows Credential Manager (`vaultcmd.exe`, APIs de `CredRead`) por processos não reconhecidos ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[T1552001-credentials-in-files|T1552.001 — Credentials In Files]] - [[T1552004-private-keys|T1552.004 — Private Keys]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] ## Analytics Relacionadas - [[an1153-analytic-1153|AN1153 — Analytic 1153]] - [[an1154-analytic-1154|AN1154 — Analytic 1154]] - [[an1155-analytic-1155|AN1155 — Analytic 1155]] - [[an1156-analytic-1156|AN1156 — Analytic 1156]] - [[an1157-analytic-1157|AN1157 — Analytic 1157]] - [[an1158-analytic-1158|AN1158 — Analytic 1158]] - [[an1159-analytic-1159|AN1159 — Analytic 1159]] --- *Fonte: [MITRE ATT&CK — DET0412](https://attack.mitre.org/detectionstrategies/DET0412)*