det0225-detect-unauthorized-lsass-driver-persistence-via-lsa-plugin-abuse-window

# DET0225 — Detect unauthorized LSASS driver persistence via LSA plugin abuse (Windows) ## Descrição Esta estratégia detecta o abuso de plugins LSA (Local Security Authority) para injetar código persistente no processo `lsass.exe`, mecanismo explorado por grupos APT avançados para interceptar credenciais e manter presença profunda no sistema. Plugins LSA legítimos incluem `msv1_0.dll`, `kerberos.dll` e `wdigest.dll`; qualquer DLL não Microsoft nessa posição é altamente suspeita. Adversários registram DLLs maliciosas como Authentication Packages ou Security Packages via chaves de registro específicas (`HKLM\SYSTEM\CurrentControlSet\Control\Lsa`), garantindo que o código sejá carregado pelo `lsass.exe` na inicialização do sistema — o que confere persistência nível SYSTEM e acesso direto a credenciais em memória. Ferramentas como Mimikatz e frameworks customizados usam esse mecanismo. A telemetria crítica inclui monitoramento de escrita nas chaves de registro LSA (Sysmon Event ID 13), auditoria de módulos carregados em `lsass.exe` (Sysmon Event ID 7), e comparação com baseline de DLLs legítimas do LSA. ## Indicadores de Detecção - DLL não assinada ou não Microsoft carregada no contexto do processo `lsass.exe` - Modificação de `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages` ou `Security Packages` - Novo arquivo DLL copiado para `C:\Windows\System32\` antes da próxima inicialização - `lsass.exe` acessando arquivos DLL em caminhos fora de `System32` (Sysmon Event ID 7) - Reinicialização seguida de carga de módulo anteriormente ausente no `lsass.exe` - Acesso de escrita à chave `HKLM\SYSTEM\CurrentControlSet\Control\Lsa` por processo não-SYSTEM ## Técnicas Relacionadas - [[T1547.002-authentication-package|T1547.002 — Authentication Package]] - [[T1547.005-security-support-provider|T1547.005 — Security Support Provider]] - [[T1003.001-lsass-memory|T1003.001 — LSASS Memory]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1112-modify-registry|T1112 — Modify Registry]] ## Analytics Relacionadas - [[an0629-analytic-0629|AN0629 — Analytic 0629]] --- *Fonte: [MITRE ATT&CK — DET0225](https://attack.mitre.org/detectionstrategies/DET0225)*