det0104-detect-modification-of-authentication-processes-across-platforms

# DET0104 — Detect Modification of Authentication Processes Across Platforms ## Descrição Esta estratégia detecta modificações nos processos de autenticação em múltiplas plataformas como mecanismo de persistência e bypass de autenticação. No Windows, isso inclui: instalação de SSP/AP maliciosos (Security Support Provider/Authentication Package) via registro (`HKLM\SYSTEM\CurrentControlSet\Control\Lsa`), modificação de DLLs do LSASS, e instalação de password filter DLLs para capturar senhas em texto claro. No Linux/macOS: modificação de módulos PAM (`/etc/pam.d/`) para aceitar senhas backdoor. A telemetria crítica para Windows inclui: modificação das chaves de registro `Security Packages` e `Authentication Packages` no LSA, carregamento de DLLs não-Microsoft pelo processo `lsass.exe` (Sysmon Event ID 7 com `ImageLoaded` não assinado), e escrita em `C:\Windows\System32\` por processos que não são instaladores legítimos. No Linux: modificação de arquivos em `/etc/pam.d/` ou `/lib/security/` fora de gerenciador de pacotes. Password filter DLLs são particularmente perigosas pois são chamadas pelo LSASS em cada mudança de senha, capturando credenciais em texto claro sem necessidade de dumping. [[g0007-apt28]] e grupos de espionagem utilizaram SSP maliciosos (como `mimilib.dll` do Mimikatz) para captura persistente de credenciais. A detecção deve priorizar mudanças no LSA que sobrevivem a reinicializações. ## Indicadores de Detecção - Modificação de `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages` ou `Authentication Packages` - DLL não-Microsoft carregada pelo processo `lsass.exe` (verificar assinatura e path) - Escrita em `C:\Windows\System32\` por processo não-instalador fora de janela de manutenção - Modificação de `/etc/pam.d/common-auth` ou `/etc/pam.d/sshd` por processo não-apt/yum/dnf - Arquivos `.so` adicionados em `/lib/security/` ou `/lib64/security/` por processo não-gerenciador de pacotes - LSASS realizando operações de rede (indicativo de SSP malicioso com exfiltração embutida) ## Técnicas Relacionadas - [[t1556-modify-authentication-process]] — Técnica principal - [[t1556001-domain-controller-authentication]] — Modificação no DC - [[t1556002-password-filter-dll]] — DLL de filtro de senha - [[t1556003-pluggable-authentication-modules]] — PAM no Linux/macOS - [[t1003-os-credential-dumping]] — Credential dumping como objetivo final ## Analytics Relacionadas - [[an0287-analytic-0287|AN0287 — Analytic 0287]] - [[an0288-analytic-0288|AN0288 — Analytic 0288]] - [[an0289-analytic-0289|AN0289 — Analytic 0289]] - [[an0290-analytic-0290|AN0290 — Analytic 0290]] - [[an0291-analytic-0291|AN0291 — Analytic 0291]] --- *Fonte: [MITRE ATT&CK — DET0104](https://attack.mitre.org/detectionstrategies/DET0104)*