det0057-detect-suspicious-access-to-securityd-memory-for-credential-extraction

# DET0057 — Detect Suspicious Access to securityd Memory for Credential Extraction ## Descrição Esta estratégia detecta tentativas de extração de credenciais via acesso à memória do processo `securityd` no macOS, que é responsável por gerenciar o Keychain — o repositório de senhas, certificados e chaves criptográficas do sistema. Adversários com privilégios root podem usar técnicas de leitura de memória de processo para extrair credenciais diretamente do espaço de memória do `securityd` sem interagir com APIs do Keychain que poderiam gerar alertas. Alinhada a [[T1555.001-credentials-from-password-stores-keychain]], a técnica explora o fato de que o `securityd` mantém segredos do Keychain descriptografados na memória durante o uso. Ferramentas como `chainbreaker` ou código customizado usam `task_for_pid()` para obter acesso ao espaço de memória do processo, lendo estruturas de dados internas para extrair senhas em texto claro. A técnica requer privilégios elevados (root ou `taskgated` entitlement). A detecção baseia-se em monitoramento de chamadas à API `task_for_pid()` direcionadas ao PID do `securityd`, uso de `ptrace(PT_ATTACH)` contra o processo, e criação de memory dumps ou leitura de regiões de memória via `vm_read`. A geração de logs do Endpoint Security Framework (ESF) do macOS é a fonte de telemetria primária para essa estratégia. ## Indicadores de Detecção - Chamada `task_for_pid()` com argumento correspondente ao PID de `securityd` por processo não-Apple - Uso de `ptrace(PT_ATTACH)` contra `securityd` por processo com baixa integridade - Processo acessando `/dev/mem` ou usando `vm_read` em regiões de memória do `securityd` - Execução de ferramentas de dumping de Keychain (`chainbreaker`, `keychaindump`) ou similares - Escalonamento de privilégios para root seguido imediatamente de acesso à API `securityd` ## Técnicas Relacionadas - [[T1555.001-credentials-from-password-stores-keychain]] — técnica primária detectada - [[t1555-credentials-from-password-stores|T1555-credentials-from-password-stores]] — categoria pai de extração de credenciais - [[T1056.001-input-capture-keylogging]] — alternativa de captura de credenciais em macOS - [[t1003-os-credential-dumping|T1003-os-credential-dumping]] — categoria geral de dumping de credenciais - [[T1548.001-abuse-elevation-control-mechanism-setuid-and-setgid]] — escalonamento para root necessário ## Analytics Relacionadas - [[an0156-analytic-0156|AN0156 — Analytic 0156]] - [[an0157-analytic-0157|AN0157 — Analytic 0157]] --- *Fonte: [MITRE ATT&CK — DET0057](https://attack.mitre.org/detectionstrategies/DET0057)*