det0134-detect-suspicious-access-to-windows-credential-manager

# DET0134 — Detect Suspicious Access to Windows Credential Manager ## Descrição Esta estratégia detecta acesso não autorizado ao Windows Credential Manager (WCM), repositório que armazena credenciais de rede, navegadores e aplicações em `%APPDATA%\Microsoft\Credentials\` e `%LOCALAPPDATA%\Microsoft\Credentials\`. Adversários acessam o WCM para extrair credenciais salvas de VPNs, shares de rede, aplicações web e plataformas colaborativas como Teams e Outlook. As ferramentas mais comuns para este ataque incluem `vaultcmd.exe /listcreds:*`, módulos do Mimikatz (`dpapi::cred`), e cmdlets PowerShell como `Get-StoredCredential`. O acesso direto aos arquivos DPAPI em disco combinado com a decriptografia via API `CryptUnprotectData` é outra abordagem detectável. Infostealers como Redline, Vidar e Lumma Stealer incluem rotinas específicas para WCM. A telemetria central inclui Windows Event ID 4663 (acesso a objeto) para o diretório `Credentials\`, Sysmon Event ID 10 (acesso a processo LSASS para DPAPI), e detecção de `vaultcmd.exe` ou APIs DPAPI chamadas por processos não-administrativos. A presença de Mimikatz ou ferramentas DPAPI conhecidas no endpoint deve elevar a prioridade do alerta. ## Indicadores de Detecção - `vaultcmd.exe /listcreds` executado por processo não-administrativo ou via shell remoto - Acesso a arquivos em `%APPDATA%\Microsoft\Credentials\` por processo diferente de `lsass.exe` - Chamada à API `CryptUnprotectData` por processo com comportamento suspeito anterior - Módulo `dpapi::cred` do Mimikatz detectado em memória ou linha de comando - PowerShell acessando `Windows.Security.Credentials.PasswordVault` em sessão não-interativa ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1056-input-capture|T1056 — Input Capture]] ## Analytics Relacionadas - [[an0378-analytic-0378|AN0378 — Analytic 0378]] --- *Fonte: [MITRE ATT&CK — DET0134](https://attack.mitre.org/detectionstrategies/DET0134)*