det0250-detect-credential-discovery-via-windows-registry-enumeration

# DET0250 — Detect Credential Discovery via Windows Registry Enumeration ## Descrição Detecta a enumeração do Registro do Windows por adversários em busca de credenciais armazenadas. Chaves como `HKCU\Software\SimonTatham\PuTTY\Sessions`, `HKLM\SOFTWARE\RealVNC`, `HKCU\Software\ORL\WinVNC3` e entradas de autofill de browsers no registro contêm credenciais em texto claro ou levemente ofuscadas que são alvos comuns durante a fase de credential access. Os indicadores incluem acesso massivo a múltiplas chaves de registro contendo `password`, `credential` ou `session` por processos não esperados, uso de `reg query` para enumerar chaves de credenciais conhecidas e carregamento de hive SAM ou SECURITY por processos fora do contexto do sistema operacional. Ferramentas como LaZagne ou o módulo `credentials` do Metasploit geram padrões característicos. A telemetria necessária abrange eventos de acesso ao Registro (Event ID 4656, 4663), process creation com linha de comando contendo `reg query` e caminhos de chaves suspeitas, e detecção comportamental por EDR de acesso programático a hives de credenciais. ## Indicadores de Detecção - `reg query HKCU\Software\SimonTatham\PuTTY\Sessions` por processo não-administrativo - Leitura de `HKLM\SAM\SAM` ou `HKLM\SECURITY\Policy\Secrets` fora do contexto SYSTEM - Processo PowerShell enumerando `HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32` - Acesso sequencial a múltiplas chaves de registro de aplicações (VNC, RDP, FTP clients) em < 60 segundos - Carregamento de hive externo via `reg load` por processo de usuário padrão - LaZagne, SessionGopher ou similar detectado por hash ou comportamento ## Técnicas Relacionadas - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1012-query-registry|T1012 — Query Registry]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] ## Analytics Relacionadas - [[an0694-analytic-0694|AN0694 — Analytic 0694]] --- *Fonte: [MITRE ATT&CK — DET0250](https://attack.mitre.org/detectionstrategies/DET0250)*