# AN0378 — Analytic 0378 ## Descrição Detecta acesso não autorizado ao Windows Credential Manager por execução anômala de processos (`vaultcmd.exe`, `rundll32.exe keymgr.dll`), chamadas de API suspeitas como `CredEnumerateA` ou acesso direto a arquivos `.vcrd`/`.vpol` nos diretórios Credential Locker do usuário. A telemetria inclui eventos de criação de processos (Sysmon Event ID 1), monitoramento de chamadas de API de credential vault e auditoria de acesso a arquivos nos diretórios `%APPDATA%\Microsoft\Credentials` e `%LOCALAPPDATA%\Microsoft\Vault`. Essa analítica é crítica porque credenciais armazenadas no Windows Credential Manager — incluindo tokens de autenticação, chaves RDP e senhas de aplicativos — são alvos frequentes de infostealer e ferramentas de pós-exploração como Mimikatz. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] --- *Fonte: [MITRE ATT&CK — AN0378](https://attack.mitre.org/detectionstrategies/DET0134#AN0378)*