# AN1641 — Analytic 1641 ## Descrição Esta analítica detecta acesso suspeito a processos de gerenciadores de senhas (KeePass, 1Password, LastPass, Bitwarden) via injeção de processo anormal, leituras de memória ou uso de linha de comando de DLLs relacionadas a cofres de senhas, correlacionado com criação de processos e chamadas de API do SO para acesso a arquivos de banco de dados (.kdbx, .opvault, .ldb). A telemetria inclui Sysmon Event ID 10 (process access) monitorando leituras de memória em processos de gerenciadores de senhas, Event ID 4663 para acesso a arquivos de banco de dados de cofres e alertas de comportamento de EDR para injeção de DLL em aplicações de gestão de credenciais. Esta detecção é crítica porque credenciais armazenadas em gerenciadores de senhas são alvos de alto valor para adversários que buscam acesso lateral a múltiplos sistemas. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1056-input-capture|T1056 — Input Capture]] --- *Fonte: [MITRE ATT&CK — AN1641](https://attack.mitre.org/detectionstrategies/DET0597#AN1641)*