# AN0583 — Analytic 0583 ## Descrição Este analítico detecta modificações no registro da chave de Pacotes de Autenticação LSA seguidas pelo carregamento de uma DLL não padrão ou não assinada pelo LSASS, incluindo escrita suspeita em `HKLM\SYSTEM\CurrentControlSet\Control\Lsa` fora de janelas de instalação, correlacionada com carregamento pelo `lsass.exe` de DLLs ausentes no baseline ou sem assinaturas válidas. A telemetria inclui eventos de modificação do registro (Sysmon Event ID 13), logs de carregamento de módulos pelo lsass.exe (Sysmon Event ID 7) e monitoramento de integridade de processos críticos do sistema. Essa detecção é crítica pois a persistência via Authentication Packages do LSA permite execução no contexto do processo lsass.exe com privilégios SYSTEM, sendo difícil de detectar e remover após estabelecida. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] --- *Fonte: [MITRE ATT&CK — AN0583](https://attack.mitre.org/detectionstrategies/DET0207#AN0583)*