# AN1030 — Analytic 1030 ## Descrição Este analítico detecta roubo de credenciais via acesso ao LSASS, identificando processos não privilegiados ou anômalos que tentam abrir um handle com acesso total (0x1F0FFF) ao `lsass.exe` e subsequentemente invocam criação de memory dump, escrita de arquivo ou modificação de Registro indicativa de scraping de credenciais. A telemetria utilizada inclui eventos de acesso a objetos (EID 4656) para handle ao lsass.exe, eventos de acesso a memória via Sysmon (EID 10 — ProcessAccess) e criação de arquivos minidump correlacionados com o processo de origem. A detecção é crítica porque o acesso ao LSASS para extração de credenciais — realizado por ferramentas como Mimikatz, ProcDump e variants — é uma etapa chave na progressão de ataques de ransomware e espionagem em redes Windows. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] --- *Fonte: [MITRE ATT&CK — AN1030](https://attack.mitre.org/detectionstrategies/DET0363#AN1030)*