det0139-detection-of-credential-harvesting-via-api-hooking

# DET0139 — Detection of Credential Harvesting via API Hooking ## Descrição Esta estratégia detecta coleta de credenciais via API hooking (T1056.004), onde malware injeta código em processos alvo para interceptar chamadas de APIs de autenticação antes da criptografia. As APIs mais visadas incluem `CredReadW`, `CryptUnprotectData`, `LsaLogonUser`, `SamIGetPrivateData`, e funções de SSL/TLS como `PR_Write` do NSS (usadas pelo Firefox) para capturar credenciais em trânsito. A técnica é utilizada por infostealers avançados como Redline, Vidar, Raccoon, e pelo módulo `sekurlsa::wdigest` do Mimikatz. O hooking é feito via modificação da IAT (Import Address Table), trampolins inline (overwrite dos primeiros bytes da função), ou via `SetWindowsHookEx`. A detecção baseia-se na identificação de hooks não autorizados em processos de alto valor como `lsass.exe`, `svchost.exe`, e navegadores. A telemetria inclui ferramentas de detecção de hook em memória (EDR com stack walk analysis), Sysmon Event ID 10 (acesso a processo `lsass.exe`), Event ID 4656/4663 para acesso a objetos LSASS, e verificação periódica de integridade das IATs de processos críticos. A presença de DLL não assinada injetada em processo de sistema é o indicador mais forte. ## Indicadores de Detecção - DLL não assinada ou de caminho incomum injetada em `lsass.exe`, `winlogon.exe`, ou navegador - Modificação da IAT de `advapi32.dll` ou `secur32.dll` em processo alvo - Acesso ao processo `lsass.exe` (Event ID 4656) por processo não-SYSTEM e não-antivírus - Hook inline detectado em `CredReadW`, `CryptUnprotectData` ou funções de autenticação - Processo com comportamento de keylogger (lendo `WM_CHAR` messages de outras janelas) ## Técnicas Relacionadas - [[t1056-input-capture|T1056 — Input Capture]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] ## Analytics Relacionadas - [[an0389-analytic-0389|AN0389 — Analytic 0389]] - [[an0390-analytic-0390|AN0390 — Analytic 0390]] - [[an0391-analytic-0391|AN0391 — Analytic 0391]] --- *Fonte: [MITRE ATT&CK — DET0139](https://attack.mitre.org/detectionstrategies/DET0139)*