det0446-credential-access-via-etcpasswd-and-etcshadow-parsing

# DET0446 — Credential Access via /etc/passwd and /etc/shadow Parsing ## Descrição Em sistemas Linux e Unix, os arquivos `/etc/passwd` e `/etc/shadow` armazenam informações de contas de usuário e hashes de senha respectivamente. Adversários com acesso root ou com privilégios suficientes tentam ler e exfiltrar esses arquivos para realizar ataques offline de quebra de hash (dictionary attacks, brute force) e obter credenciais em texto claro em sistemas que ainda utilizam esquemas de hash fracos (MD5, DES). O `/etc/shadow` é protegido por permissões restritas (modo 640, proprietário root:shadow), mas adversários que obtiveram escalonamento de privilégios — via exploração de vulnerabilidades do kernel, SUID abuse ou sudo misconfiguration — podem acessá-lo diretamente. Ferramentas como `unshadow` (John the Ripper), `hashcat` e scripts Python personalizados são utilizados para processar e quebrar os hashes obtidos. A detecção deve monitorar acesso de leitura a `/etc/shadow` por processos que não sejam daemons de autenticação legítimos (PAM, `passwd`, `chage`), correlacionar com eventos de escalonamento de privilégios recentes, e identificar exfiltração subsequente do conteúdo desses arquivos via rede ou armazenamento externo. ## Indicadores de Detecção - Leitura de `/etc/shadow` por processo que não sejá `passwd`, `chage`, `useradd`, `pam_unix` ou daemon de autenticação - Acesso a `/etc/passwd` seguido de acesso a `/etc/shadow` no mesmo contexto de processo/sessão - Uso de `cat /etc/shadow`, `grep` ou redirecionamento de saída do conteúdo de `/etc/shadow` para arquivo temporário - Evento auditd com `syscall=open` ou `syscall=read` em `/etc/shadow` por UID não privilegiado - Transferência de arquivo contendo hashes crypt para destino externo via `scp`, `curl`, `nc` - Processo `unshadow` ou invocação de `john`, `hashcat` com wordlist em host não autorizado ## Técnicas Relacionadas - [[T1003008-etc-passwd-and-shadow|T1003.008 — /etc/passwd and /etc/shadow]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[T1078003-local-accounts|T1078.003 — Local Accounts]] - [[T1548001-setuid-and-setgid|T1548.001 — Setuid and Setgid]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1110-brute-force|T1110 — Brute Force]] ## Analytics Relacionadas - [[an1234-analytic-1234|AN1234 — Analytic 1234]] --- *Fonte: [MITRE ATT&CK — DET0446](https://attack.mitre.org/detectionstrategies/DET0446)*