# DC0009 - Process Access ## Descrição Process Access monitora quando um processo tenta acessar ou interagir com outro processo em execução, especialmente operações que envolvem handles de memória, threads ou tokens de segurança. É o data component central para detectar process injection, credential dumping via LSASS e técnicas de manipulação de tokens. Adversários abusam de APIs do Windows como `OpenProcess`, `ReadProcessMemory` e `WriteProcessMemory` para injetar código ou extrair credenciais de processos privilegiados. ### Pipeline de Detecção ```mermaid graph TB A["📥 Fonte de Dados<br/>Sysmon EID 10<br/>Win EID 4656"] --> B["🔄 Coleta<br/>WEF / Elastic Agent<br/>EDR Telemetry"] B --> C["📊 Normalização<br/>Processo fonte/alvo,<br/>GrantedAccess, CallTrace"] C --> D["🔍 Correlação<br/>LSASS access patterns,<br/>injection sequences"] D --> E["⚠️ Regras de Detecção<br/>Credential dump,<br/>process injection"] E --> F["🚨 Alerta<br/>SOC Tier 2 - CRÍTICO"] F --> G["📋 Resposta<br/>Credential reset +<br/>Isolamento + Forense"] classDef source fill:#3498db,stroke:#2c3e50,color:#ecf0f1 classDef process fill:#2ecc71,stroke:#2c3e50,color:#ecf0f1 classDef alert fill:#e74c3c,stroke:#2c3e50,color:#ecf0f1 class A source class B,C,D process class E,F,G alert ``` ## Fonte de Dados Parent: [[ds0009-process|DS0009 - Process]] ## O Que Monitorar - Sysmon Event ID 10 (ProcessAccess) - acesso a processo com direitos suspeitos - Acesso a lsass.exe com direitos PROCESS_VM_READ (0x0010) ou PROCESS_ALL_ACCESS (0x1F0FFF) - Handles abertos para processos de segurança (antivírus, EDR) - Acesso cruzado entre processos de diferentes integridades (low > high) - Uso de `MiniDumpWriteDump` para dump de memória - Processos comuns (task manager, explorer) abrindo handles incomuns - Acesso a processos de navegador para hijacking de sessão ## Técnicas Detectadas | Técnica | ID | Como Detectar | |---------|-----|---------------| | Process Injection | [[t1055-process-injection\|T1055]] | OpenProcess + WriteProcessMemory para processos alvo | | OS Credential Dumping | [[t1003-os-credential-dumping\|T1003]] | Acesso a lsass.exe com direitos de leitura de memória | | Browser Session Hijacking | [[t1185-browser-session-hijacking\|T1185]] | Acesso a processos de browser para extrair cookies | | Inter-Process Commúnication | [[t1559-inter-process-communication\|T1559]] | Acesso via pipes ou COM entre processos | ## Implementação **Sysmon Event ID 10:** ```xml <RuleGroup name="ProcessAccess" groupRelation="or"> <ProcessAccess onmatch="include"> <TargetImage condition="end with">lsass.exe</TargetImage> <GrantedAccess condition="contains">0x1010</GrantedAccess> </ProcessAccess> </RuleGroup> ``` **Windows Event ID 4656** (Handle solicitado para objeto) com auditoria de Object Access habilitada para processos críticos. **Microsoft Defender Credential Guard** para isolar LSASS e bloquear acesso direto a credenciais. **Ferramentas:** Sysmon, Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne, Elastic Endpoint, Malwarebytes. ## Detecção KQL (Microsoft Sentinel / Defender) ```kql // Acesso a LSASS - credential dumping DeviceProcessEvents | where FileName =~ "lsass.exe" | join kind=inner ( DeviceEvents | where ActionType == "ProcessAccessed" ) on DeviceId | where InitiatingProcessFileName !in~ ("svchost.exe", "csrss.exe", "services.exe", "MsMpEng.exe") | project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine ``` ```kql // Process injection - acesso suspeito a processos com escrita de memória DeviceEvents | where ActionType == "ProcessAccessed" | where AdditionalFields has "0x1F0FFF" or AdditionalFields has "0x1FFFFF" | project Timestamp, DeviceName, InitiatingProcessFileName, FileName, AdditionalFields | order by Timestamp desc ``` ## Contexto LATAM > [!latam] Relevância Regional > Process Access para detecção de credential dumping é essencial mas subutilizado em SOCs brasileiros. A maioria dos ataques de ransomware contra organizações brasileiras inclui uma fase de credential harvesting via LSASS, mas poucos ambientes têm Sysmon Event ID 10 configurado com filtros adequados. A adoção de Credential Guard é baixa fora do setor financeiro. > - Adoção em SOCs brasileiros: **baixo** > - Ferramentas comuns: CrowdStrike Falcon (em grandes empresas), Microsoft Defender for Endpoint, Sysmon (quando configurado) > - Desafios: Sysmon EID 10 gera volume extremamente alto de eventos sem tuning; Credential Guard requer hardware TPM 2.0 (ausente em parque legado); poucos analistas brasileiros dominam análise de GrantedAccess flags e CallTrace para triagem eficaz