# DET0174 — Detection Strategy for Exploitation for Credential Access ## Descrição Esta estratégia detecta exploração de vulnerabilidades com o objetivo específico de obter credenciais do sistema — mapeado em [[t1212-exploitation-for-credential-access|T1212 - Exploitation for Credential Access]]. Adversários exploram falhas em software de autenticação, gerenciadores de senha, SSO, ou no próprio sistema operacional para extrair credenciais armazenadas ou em uso — como exploração de LSASS via vulnerabilidades não-patchadas ou abuso de APIs de autenticação. Os indicadores incluem crash inesperado de processos de autenticação (`lsass.exe`, `winlogon.exe`, processos de SSO), acesso a regiões de memória de processos privilegiados de forma não convencional, exploração de vulnerabilidades conhecidas de credential managers, e processos filhos anômalos gerados por serviços de autenticação. Telemetria de EDR com proteção de LSASS (Credential Guard), Windows Security Event Logs (IDs 4625, 4624), e crash dumps são fontes essenciais. A correlação com CVEs de exploração de credential access (ex: vulnerabilidades em Kerberos, NTLM, SSPI) e o contexto de patch status do sistema afetado é fundamental para triagem eficaz. Processos que tocam memória de LSASS sem handle legítimo devem ser tratados como alta prioridade. ## Indicadores de Detecção - Crash ou restart inesperado de `lsass.exe` ou processos de autenticação SSO - Processo não-sistema acessando memória de `lsass.exe` (Sysmon ID 10, GrantedAccess suspeito) - Exploração de CVE conhecida em componente de autenticação detectada por EDR/IPS - Processo filho anômalo gerado por `winlogon.exe`, `services.exe` ou agente SSO - Access violation ou heap corruption em serviço de autenticação correlacionada com atividade de rede ## Técnicas Relacionadas - [[t1212-exploitation-for-credential-access|T1212 - Exploitation for Credential Access]] — técnica principal detectada - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] — objetivo final frequente após exploração - [[t1078-valid-accounts]] — uso das credenciais obtidas - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] — frequentemente combinado ## Analytics Relacionadas - [[an0493-analytic-0493|AN0493 — Analytic 0493]] - [[an0494-analytic-0494|AN0494 — Analytic 0494]] - [[an0495-analytic-0495|AN0495 — Analytic 0495]] - [[an0496-analytic-0496|AN0496 — Analytic 0496]] --- *Fonte: [MITRE ATT&CK — DET0174](https://attack.mitre.org/detectionstrategies/DET0174)*