det0593-detecting-os-credential-dumping-via-proc-filesystem-access-on-linux

# DET0593 — Detecting OS Credential Dumping via /proc Filesystem Access on Linux ## Descrição O dump de credenciais via filesystem `/proc` no Linux ([[T1003.007 - OS Credential Dumping Proc Filesystem|T1003.007]]) é a técnica equivalente ao Mimikatz no ecossistema Linux. O filesystem `/proc` expõe a memória de cada processo em execução através de arquivos como `/proc/<PID>/mem` e `/proc/<PID>/maps`. Um adversário com privilégios root pode ler a memória do processo `sshd`, `sudo`, ou qualquer processo que tenha processado credenciais recentemente para extrair senhas, chaves SSH e tokens de autenticação armazenados em memória. Ferramentas como `mimipenguin`, `LaZagne` (módulo Linux) e scripts customizados utilizam esse vetor para extrair credenciais de processos de sistema. O processo envolve: leitura do `/proc/<PID>/maps` para localizar regiões de memória relevantes, e então acesso ao `/proc/<PID>/mem` para ler o conteúdo. Qualquer processo com permissão de ptrace sobre o processo-alvo (normalmente requer root) pode executar essa operação. A detecção monitora acesso ao filesystem `/proc` por processos que não são debuggers legítimos ou ferramentas de sistema: específicamente, leitura de `/proc/*/mem` por processos não-`gdb`, não-`strace` e não-`systemd`. O `auditd` com regras específicas para acesso a `/proc/*/mem` e `/proc/*/maps` por PID específico é a implementação de detecção mais direta e de baixo overhead. ## Indicadores de Detecção - Leitura de `/proc/<PID>/mem` por processo que não é debugger ou ferramenta de sistema reconhecida - `ptrace(PTRACE_PEEKDATA)` em processo `sshd`, `sudo` ou `su` por processo não-root de monitoramento - Ferramenta `mimipenguin`, `LaZagne` ou nome de processo similar com operações em `/proc/` - `open("/proc/<PID>/maps")` seguido de `open("/proc/<PID>/mem")` em sequência por mesmo processo - Auditd rule `-a always,exit -F arch=b64 -S open -F path=/proc/ -F perm=r` gerando alertas - Script Python ou Perl acessando múltiplos `/proc/*/mem` em loop (pattern de varredura de credenciais) ## Técnicas Relacionadas - [[T1003.007-os-credential-dumping-proc-filesystem|T1003.007 — Proc Filesystem]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1212-exploitation-for-credential-access|T1212 — Exploitation for Credential Access]] ## Analytics Relacionadas - [[an1631-analytic-1631|AN1631 — Analytic 1631]] --- *Fonte: [MITRE ATT&CK — DET0593](https://attack.mitre.org/detectionstrategies/DET0593)*