# AN0757 — Analytic 0757 ## Descrição Esta analítica detecta acesso de processo anômalo ao LSASS em controladores de domínio, carregamentos suspeitos de DLLs de autenticação e modificações de registro ou arquivo indicativas de patching estilo Skeleton Key. A telemetria inclui logs de Sysmon (Event ID 10 — acesso a processo LSASS), eventos de carregamento de módulo (Event ID 7) e logs de auditoria do Windows para modificações de registro em chaves de autenticação. A detecção é fundamental porque ataques de Skeleton Key e patching do LSASS permitem ao adversário autenticar-se com qualquer senha em qualquer conta do domínio sem deixar rastros nos logs de autenticação. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] --- *Fonte: [MITRE ATT&CK — AN0757](https://attack.mitre.org/detectionstrategies/DET0271#AN0757)*