# AN0235 — Analytic 0235 ## Descrição Detecta um adversário operando com privilégios SYSTEM que executa comandos ou acessa chaves de registro para fazer dump do hive SAM ou lê diretamente arquivos sensíveis do diretório de configuração, comportamento que frequentemente envolve acesso sequencial a `HKLM\SAM`, `HKLM\SYSTEM` e criação de arquivos `.save` ou `.dmp`, permitindo extração de hashes offline. A telemetria inclui eventos de auditoria de acesso a objeto do Windows (Security EID 4663) para acesso às chaves SAM/SYSTEM/SECURITY, eventos Sysmon de acesso ao registro (EventID 13) e criação de arquivo para arquivos de dump em locais temporários, correlacionados com processos executando com privilégios SYSTEM. Essa analítica detecta uma das técnicas de coleta de credenciais mais críticas no Windows, onde os hashes NT obtidos do SAM podem ser usados para ataques pass-the-hash ou quebra offline de senha, fornecendo acesso a contas locais de toda a organização se o hash do administrador local padrão não for rotacionado (cenário coberto pelo LAPS). **Plataformas:** Windows ## Técnicas Relacionadas - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN0235](https://attack.mitre.org/detectionstrategies/DET0085#AN0235)*