# AN1417 — Analytic 1417 ## Descrição Detecta o comportamento de adversários acessando arquivos de credenciais de domínio em cache do Windows utilizando ferramentas como Mimikatz, reg.exe ou PowerShell, frequentemente combinados com exportações de registro ou raspagem de memória do LSASS. A telemetria baseia-se em eventos do Windows relacionados a acesso a chaves de registro sensíveis (HKLM\SECURITY\Cache), execução de processos com argumentos conhecidos de ferramentas de dumping de credenciais e eventos de acesso à memória do processo lsass.exe. Essa detecção é fundamental para identificar a fase de acesso a credenciais em ataques, onde adversários buscam credenciais cacheadas para movimentação lateral em redes sem acesso direto a controladores de domínio. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1003-005-cached-domain-credentials|T1003.005 — Cached Domain Credentials]] - [[t1003-001-lsass-memory|T1003.001 — LSASS Memory]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1012-query-registry|T1012 — Query Registry]] --- *Fonte: [MITRE ATT&CK — AN1417](https://attack.mitre.org/detectionstrategies/DET0513#AN1417)*