# AN0287 — Analytic 0287 ## Descrição Esta analítica detecta modificação do LSASS e DLLs de autenticação, alterações suspeitas no Registro para pacotes de filtro de senha, e acesso anômalo de processos ao `lsass.exe`, correlacionando modificações de Registro, carregamentos de DLL e eventos de acesso a handles de processo. A telemetria inclui Sysmon Event ID 10 (acesso a processo), Windows Event 4656/4663 e logs de carregamento de DLL em `lsass.exe`. A detecção é crítica pois o abuso de LSASS e filtros de senha é técnica clássica de dumping de credenciais usada por grupos como APT28 e por malwares bancários brasileiros como Guildma. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1003-001-lsass-memory|T1003.001 — LSASS Memory]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0287](https://attack.mitre.org/detectionstrategies/DET0104#AN0287)*