# AN0629 — Analytic 0629 ## Descrição Este analítico detecta criação ou modificação não autorizada de DLLs carregadas pelo LSASS, valores de registro anômalos sob extensões LSA e atividade anômala de carregamento de DLL no contexto do processo `lsass.exe`, correlacionados durante eventos de boot ou logon. A telemetria inclui eventos de modificação do registro (Sysmon Event ID 13) para chaves de extensão LSA, logs de carregamento de módulos pelo `lsass.exe` (Sysmon Event ID 7) com verificação de assinatura digital e monitoramento de integridade de arquivos DLL em diretórios do sistema que são referênciados por chaves LSA. Essa detecção é crítica pois DLLs maliciosas carregadas pelo LSASS têm acesso a credenciais em memória e a contexto privilegiado SYSTEM, sendo uma técnica de persistência e roubo de credenciais de alto impacto observada em grupos APT avançados como Turla e APT29. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] --- *Fonte: [MITRE ATT&CK — AN0629](https://attack.mitre.org/detectionstrategies/DET0225#AN0629)*