det0037-detect-suspicious-access-to-browser-credential-stores

# DET0037 — Detect Suspicious Access to Browser Credential Stores ## Descrição Esta estratégia detecta acesso malicioso aos armazenamentos de credenciais de navegadores web para roubo de senhas, cookies de sessão e tokens salvos. Infostealers modernos como RedLine, Vidar, Raccoon e MetaStealer acessam diretamente os bancos de dados SQLite dos navegadores (Chrome, Firefox, Edge) e descriptografam as credenciais usando a Data Protection API (DPAPI) do Windows ou equivalente no macOS/Linux. No Chrome e derivados baseados em Chromium, as credenciais ficam em `%LOCALAPPDATA%\Google\Chrome\User Data\Default\Login Data` (SQLite). O campo `password_value` é cifrado com DPAPI (Windows) ou com a `Local State` key (versões mais recentes com AES-256-GCM). Processos que não sejam o próprio navegador acessando esses arquivos SQLite diretamente — especialmente copiando para diretório temporário antes de ler — são indicadores fortes de roubo de credenciais. No Firefox, as credenciais ficam em `logins.json` e são protegidas por `key4.db` (NSS). No macOS, o Keychain é consultado via API `SecKeychainItemCopyContent`. Qualquer processo não-navegador lendo arquivos de perfil de navegador em lote, ou invocando a API DPAPI (`CryptUnprotectData`) em contexto de processo de usuário fora do ciclo normal, deve acionar alerta. ## Indicadores de Detecção - Processo não-browser abrindo `Login Data`, `Cookies`, ou `Web Data` do Chrome/Edge em `User Data\` - Cópia de arquivo SQLite de navegador para diretório temporário seguida de leitura por processo suspeito - Chamada a `CryptUnprotectData` por processo de usuário sem histórico de uso dessa API - Acesso a `%APPDATA%\Mozilla\Firefox\Profiles\*\logins.json` por processo não-Firefox - `sqlite3.exe` ou queries SQL diretas aos arquivos de banco de dados de navegador por processo automatizado - Leitura do arquivo `Local State` do Chrome (contém chave de decriptação AES-GCM) por processo não-Chrome - Processo com alto volume de acesso a múltiplos perfis de navegador em sequência rápida - `security find-generic-password` no macOS em script ou processo não-interativo ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] - [[t1056-input-capture|T1056 — Input Capture]] ## Analytics Relacionadas - [[an0105-analytic-0105|AN0105 — Analytic 0105]] - [[an0106-analytic-0106|AN0106 — Analytic 0106]] - [[an0107-analytic-0107|AN0107 — Analytic 0107]] --- *Fonte: [MITRE ATT&CK — DET0037](https://attack.mitre.org/detectionstrategies/DET0037)*