det0234-credential-dumping-via-sensitive-memory-and-registry-access-correlation

# DET0234 — Credential Dumping via Sensitive Memory and Registry Access Correlation ## Descrição Esta estratégia correlaciona múltiplos indicadores de dumping de credenciais — acesso à memória do `lsass.exe`, leitura de hives de registro sensíveis (SAM, SECURITY, SYSTEM) e execução de ferramentas conhecidas — para detecção de alta fidelidade. A correlação reduz falsos positivos que ocorrem quando cada indicador é avaliado isoladamente. O padrão de ataque típico envolve: processo abrindo handle de `lsass.exe` com `PROCESS_VM_READ`, seguido de leitura de seções de memória que contêm credenciais NTLM/Kerberos, e dump para arquivo local. Alternativamente, o adversário acessa as chaves de registro SAM/SECURITY/SYSTEM para extrair hashes offline. Ferramentas como Mimikatz, ProcDump, comsvcs.dll MiniDump e LaZagne são vetores comuns. A telemetria requer Sysmon Event ID 10 (process access) com filtragem por `GrantedAccess` para `lsass.exe`, Event ID 4656/4663 para acesso a hives de registro, e detecção de ferramentas de dumping conhecidas via hash ou linha de comando. ## Indicadores de Detecção - Processo não-SYSTEM abrindo handle de `lsass.exe` com flag `PROCESS_VM_READ` (0x10) ou `PROCESS_ALL_ACCESS` - `comsvcs.dll` invocado via `rundll32` com argumento `MiniDump` apontando para `lsass.exe` - Leitura de `HKLM\SAM`, `HKLM\SECURITY` ou `HKLM\SYSTEM\CurrentControlSet\Control\Lsa` por processo não-SYSTEM - Criação de arquivo `.dmp` em `%TEMP%` ou diretório de trabalho por processo de linha de comando - `procdump.exe` ou variante executando com PID do `lsass.exe` como argumento - Tentativa de habilitação do privilégio `SeDebugPrivilege` por processo não administrativo legítimo ## Técnicas Relacionadas - [[T1003.001-lsass-memory|T1003.001 — LSASS Memory]] - [[T1003.002-security-account-manager|T1003.002 — Security Account Manager]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[T1552.001-credentials-in-files|T1552.001 — Credentials in Files]] ## Analytics Relacionadas - [[an0648-analytic-0648|AN0648 — Analytic 0648]] - [[an0649-analytic-0649|AN0649 — Analytic 0649]] - [[an0650-analytic-0650|AN0650 — Analytic 0650]] --- *Fonte: [MITRE ATT&CK — DET0234](https://attack.mitre.org/detectionstrategies/DET0234)*