dc0035-process-access

# DC0035 — Process Access ## Descrição O **Process Access** monitora tentativas de um processo abrir outro processo — normalmente para inspecionar ou manipular sua memória, duplicar handles, ou injetar código. No Windows, isso envolve a chamada `OpenProcess` com determinados direitos de acesso. O evento registra o processo de origem (quem solicita o acesso), o processo alvo, e os direitos de acesso requisitados (access mask). O acesso ao processo `lsass.exe` (Local Security Authority Subsystem Service) é um dos indicadores mais críticos de roubo de credenciais ([[t1003-os-credential-dumping|T1003-os-credential-dumping]]). Ferramentas como `mimikatz`, `procdump` e variantes realizam um `OpenProcess` no lsass com direitos de leitura de memória (`PROCESS_VM_READ`) para extrair hashes de senhas, tickets Kerberos e senhas em texto claro. Esse padrão é altamente detectable via Sysmon Event ID 10. A granularidade dos direitos de acesso solicitados (access mask) é reveladora: - `0x1fffff` (PROCESS_ALL_ACCESS) — acesso total, extremamente suspeito exceto por processos de sistema - `0x143a` — combinação típica de direitos usada por ferramentas de dumping de credenciais - `0x1000` (PROCESS_QUERY_LIMITED_INFORMATION) — acesso legítimo comum para monitoramento Além do credential dumping, Process Access é relevante para detectar [[t1055-process-injection|T1055-process-injection]] — onde um processo malicioso abre outro com `PROCESS_VM_WRITE` + `PROCESS_CREATE_THREAD` para injetar código. A combinação desses direitos de acesso é um indicador forte de injeção. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows | Sysmon 10 | ProcessAccess — origem, alvo, access mask, grant mask | Sysmon | | Windows | 4656 | Handle solicitado para objeto (processo) — SE_OBJECT_TYPE_PROCESS | Security.evtx | | Windows | 4663 | Acesso ao objeto realizado (handle existente) | Security.evtx | | Linux | Auditd `ptrace` | Rastreamento/acesso a processo via ptrace | Auditd | | Linux | Auditd `process_vm_readv` / `process_vm_writev` | Leitura/escrita direta em memória de processo | Auditd | | macOS | AuditD `ptrace` | Equivalente ao Linux | Auditd macOS | ## Queries de Detecção ### KQL — Azure Sentinel / Microsoft Defender ```kql // Acesso ao lsass.exe — possível credential dumping DeviceEvents | where ActionType == "OpenProcessApiCall" | where FileName =~ "lsass.exe" | where not(InitiatingProcessFileName in~ ( "MsMpEng.exe", "csagent.exe", "svchost.exe", "wininit.exe", "lsm.exe", "services.exe", "winlogon.exe", "werfault.exe" )) | project Timestamp, DeviceName, FileName, ProcessId, InitiatingProcessFileName, InitiatingProcessCommandLine, AdditionalFields | order by Timestamp desc ``` ### SPL — Splunk (com Sysmon) ```spl index=sysmon EventCode=10 TargetImage="*\\lsass.exe" NOT (SourceImage IN ( "*\\MsMpEng.exe", "*\\csagent.exe", "*\\svchost.exe", "*\\wininit.exe", "*\\services.exe", "*\\winlogon.exe" )) | eval access_type=case( GrantedAccess="0x1fffff", "PROCESS_ALL_ACCESS - CRÍTICO", GrantedAccess="0x143a", "Credential Dumping Pattern - CRÍTICO", GrantedAccess="0x1010", "VM_READ - Alto", 1=1, "Outro - " . GrantedAccess) | stats count by Computer, SourceImage, TargetImage, GrantedAccess, access_type | sort - count ``` ## Técnicas Relacionadas | Técnica | Nome | Relevância | |---|---|---| | [[t1003-os-credential-dumping\|T1003-os-credential-dumping]] | OS Credential Dumping | `OpenProcess(lsass)` para extração de credenciais | | [[t1055-process-injection\|T1055-process-injection]] | Process Injection | `OpenProcess` com `VM_WRITE` + `CREATE_THREAD` para injeção | | [[t1574-hijack-execution-flow\|T1574-hijack-execution-flow]] | Hijack Execution Flow | Acesso a processos para modificar fluxo de execução | ## Contexto LATAM > [!globe] Relevância Regional > O credential dumping via acesso ao lsass é uma das técnicas mais utilizadas em ataques corporativos no Brasil — especialmente após comprometimento inicial via phishing. SOCs brasileiros com Sysmon habilitado têm alta capacidade de detectar esse padrão. É importante notar que o [[mimikatz]] e variantes são amplamente utilizados em campamentos contra empresas brasileiras. A detecção via Sysmon Event ID 10 com filtro no TargetImage `lsass.exe` tem alta taxa de precisão e baixo volume de falsos positivos quando combinada com whitelist de processos legítimos. ## Referências - [MITRE ATT&CK — DC0035 Process Access](https://attack.mitre.org/datasources/DS0009/#Process%20Access) - [Sysmon Event ID 10 — ProcessAccess](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [Credential Access via LSASS — Análise MITRE](https://attack.mitre.org/techniques/T1003/001/) - [[ds0009-process|DS0009 — Process]] - [[t1003-os-credential-dumping|T1003-os-credential-dumping]] - [[t1055-process-injection|T1055-process-injection]]