# AN1212 — Analytic 1212 ## Descrição Detecta atividade adversária voltada ao acesso de LSA Secrets no Windows, incluindo exportação da chave de registro HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets ou extração de memória via ferramentas como Mimikatz ou Invoke-Mimikatz. A telemetria inclui eventos de acesso ao registro em chaves protegidas do LSA, tentativas de leitura de memória do processo lsass.exe e execução de ferramentas de pós-exploração conhecidas. Esse tipo de ataque permite que adversários recuperem credenciais de contas de serviço, senhas de aplicações e chaves de criptografia armazenadas pelo sistema. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1003.004-lsa-secrets|T1003.004 — LSA Secrets]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN1212](https://attack.mitre.org/detectionstrategies/DET0437#AN1212)*