det0085-credential-dumping-from-sam-via-registry-dump-and-local-file-access

# DET0085 — Credential Dumping from SAM via Registry Dump and Local File Access ## Descrição Esta estratégia detecta a extração de credenciais do banco de dados SAM (Security Account Manager) do Windows, que armazena hashes de senhas de contas locais. Os métodos mais comuns incluem: exportação da hive de registro via `reg save HKLM\SAM`, acesso direto ao arquivo `%SystemRoot%\system32\config\SAM`, e uso de ferramentas como Mimikatz ou Impacket's `secretsdump`. A telemetria primária inclui eventos de acesso ao arquivo SAM (Windows Security Event 4656/4663), chamadas de API `RegSaveKey` ou `RegOpenKeyEx` sobre chaves HKLM\SAM\SAM\Domains, e execução de processos conhecidos de credential dumping. O VSS (Volume Shadow Copy) também é frequentemente abusado para contornar restrições de acesso ao arquivo SAM em uso. A estratégia deve correlacionar acesso ao SAM com criação de arquivos temporários suspeitos em diretórios como `C:\Windows\Temp` ou `C:\Users\Public`, seguida de exfiltração ou uso desses arquivos por ferramentas de cracking. Grupos como [[g0032-lazarus-group]], [[g0016-apt29]] e operadores de ransomware como [[lockbit]] utilizam este método rotineiramente na fase de credential access. ## Indicadores de Detecção - Execução de `reg save HKLM\SAM` ou `reg save HKLM\SYSTEM` por processos não administrativos legítimos - Acesso ao arquivo `C:\Windows\System32\config\SAM` por processos fora do LSASS - Uso de `vssadmin` ou `wmic shadowcopy` seguido de acesso a cópia shadow do SAM - Presença de ferramentas como `mimikatz.exe`, `secretsdump.py` ou `samdump2` no sistema - Leitura de chaves de registro `HKLM\SAM\SAM\Domains\Account\Users` por processos não-SYSTEM - Criação de dumps de registro com extensões `.hive`, `.ntds` ou `.dit` em diretórios temporários ## Técnicas Relacionadas - [[t1003002-os-credential-dumping-security-account-manager]] — Técnica principal - [[t1003-os-credential-dumping]] — Categoria pai - [[t1552001-credentials-in-files]] — Credenciais em arquivos locais - [[t1059001-powershell]] — PowerShell frequentemente usado para execução do dump - [[t1003003-ntds]] — Técnica relacionada de dump do Active Directory ## Analytics Relacionadas - [[an0235-analytic-0235|AN0235 — Analytic 0235]] --- *Fonte: [MITRE ATT&CK — DET0085](https://attack.mitre.org/detectionstrategies/DET0085)*