# AN1303 — Analytic 1303 ## Descrição Detecta o registro suspeito de novas DLLs de filtro de senha no processo de autenticação do Windows, correlacionando modificações de registro em `LSASS Notification Packages` com criação e carregamento subsequente de DLL. Observa a colocação anômala de DLLs em diretórios do sistema seguida do carregamento pelo LSASS durante atividade de logon ou troca de senha. A telemetria inclui eventos de modificação de registro (Event ID 4657), criação de arquivos em diretórios do sistema e carregamento de módulos pelo processo `lsass.exe` via Sysmon ou EDR. Esta detecção é crítica pois filtros de senha maliciosos permitem que adversários capturem credenciais em texto claro durante cada operação de autenticação, criando um mecanismo de coleta persistente e silencioso. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1003-credential-dumping|T1003 — OS Credential Dumping]] - [[t1547-001-registry-run-keys|T1547.001 — Registry Run Keys]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] --- *Fonte: [MITRE ATT&CK — AN1303](https://attack.mitre.org/detectionstrategies/DET0472#AN1303)*