det0207-detect-lsa-authentication-package-persistence-via-registry-and-lsass-dll

# DET0207 — Detect LSA Authentication Package Persistence via Registry and LSASS DLL Load ## Descrição Esta estratégia detecta persistência via registro de pacotes de autenticação LSA (Local Security Authority) maliciosos — mapeada para [[T1547.002 — Authentication Packages]]. Adversários registram DLLs maliciosas como Authentication Packages ou Security Packages na chave de registro LSA, fazendo com que `lsass.exe` carregue a DLL com privilégios SYSTEM durante a inicialização do Windows, garantindo persistência de alta fidelidade e difícil de remover sem reinicialização. A detecção foca na modificação das chaves de registro LSA: `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages` e `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages`. Qualquer adição a essas listas por processos não-padrão de gerenciamento do sistema é altamente suspeita. A correlação com carregamento subsequente da DLL por `lsass.exe` após reinicialização confirma a técnica. O analytics AN0583 correlaciona: modificação de registro LSA → identidade do processo modificador → DLL referênciada (verificação de hash e assinatura) → carregamento por `lsass.exe`. Grupos APT avançados como [[g0016-apt29]] e [[g0096-apt41]] utilizam essa técnica para estabelecer persistência privilegiada em ambientes corporativos Windows. ## Indicadores de Detecção - Modificação de `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages` por processo não-SYSTEM - Nova entrada em `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages` não reconhecida - DLL sem assinatura digital adicionada à lista de Authentication Packages do LSA - `lsass.exe` carregando DLL de caminho fora de `%SystemRoot%\System32\` - Evento Sysmon de carregamento de imagem por `lsass.exe` com DLL recém-criada (< 24h) - DLL de Authentication Package com hash não correspondente a baseline de sistema - Evento Windows 4611 (Authentication Package carregado pelo LSA) com DLL não-whitelisted ## Técnicas Relacionadas - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] ## Analytics Relacionadas - [[an0583-analytic-0583|AN0583 — Analytic 0583]] --- *Fonte: [MITRE ATT&CK — DET0207](https://attack.mitre.org/detectionstrategies/DET0207)*