# AN1495 — Analytic 1495 ## Descrição Monitora modificações no registro em `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages` ou `...\OSConfig\Security Packages`, especialmente inserções de novas entradas de DLL, correlacionadas com carregamentos subsequentes de módulos DLL no processo `lsass.exe`. A telemetria inclui eventos de modificação de registro (EventID 4657), eventos de carregamento de imagem no Sysmon (EventID 7) e auditoria de imagens carregadas não assinadas ou anômalas no LSASS. Esta analítica é crítica porque a inserção de Security Support Providers (SSPs) maliciosos no LSASS é uma técnica de persistência avançada que permite captura de credenciais em texto claro durante o processo de autenticação. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1112-modify-registry|T1112 — Modify Registry]] --- *Fonte: [MITRE ATT&CK — AN1495](https://attack.mitre.org/detectionstrategies/DET0542#AN1495)*