# AN0648 — Analytic 0648 ## Descrição Detecta processos que acessam a memória do LSASS ou hives do registro SAM fora de ferramentas de segurança confiáveis, frequentemente seguidos de criação de arquivos ou movimentação lateral. A telemetria é obtida via Sysmon (Event ID 10 — ProcessAccess para LSASS) e logs de auditoria do Windows (Event ID 4656/4663 para acesso ao SAM) que identificam handles abertos para subsistemas críticos do sistema operacional. Essa analítica é fundamental na detecção de técnicas de extração de credenciais como Mimikatz e similares, amplamente usadas por grupos APT e operadores de ransomware. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN0648](https://attack.mitre.org/detectionstrategies/DET0234#AN0648)*