det0363-detection-of-credential-dumping-from-lsass-memory-via-access-and-dump-se

# DET0363 — Detection of Credential Dumping from LSASS Memory via Access and Dump Sequence ## Descrição O processo `lsass.exe` (Local Security Authority Subsystem Service) é o componente central do Windows responsável por armazenar credenciais autenticadas na memória, incluindo hashes NTLM, tickets Kerberos e senhas em texto claro (em configurações legadas). A extração dessas credenciais é uma das técnicas mais críticas no arsenal de adversários, permitindo movimentação lateral imediata via Pass-the-Hash, Pass-the-Ticket e acesso a sistemas com credenciais reutilizadas. Ferramentas como [[mimikatz|Mimikatz]], ProcDump, Task Manager e API nativa `MiniDumpWriteDump` são utilizadas para realizar o dump. A sequência de ataque típica envolve primeiro a obtenção de privilégios elevados (SeDebugPrivilege), seguida pela abertura de handle ao processo LSASS com flags de acesso `PROCESS_VM_READ` e `PROCESS_QUERY_INFORMATION`, e finalmente a leitura/dump da memória do processo. Variantes modernas de [[mimikatz|Mimikatz]] e successores como [[Nanodump]] e [[PPLdump]] exploram técnicas de bypass do Protected Process Light (PPL) para contornar proteções do Windows Defender Credential Guard. A detecção combina monitoramento de Event ID 4656 (tentativa de acesso a objeto com handle), Event ID 10 do Sysmon (acesso a processo), e análise comportamental de EDR para identificar o padrão de abertura de handle ao LSASS por processos não-autorizados, especialmente quando seguido de operações de leitura de memória. ## Indicadores de Detecção - Event ID 10 Sysmon: acesso ao processo `lsass.exe` com `GrantedAccess` incluindo `0x1010`, `0x1038`, `0x143A` - `ProcDump.exe -ma lsass.exe` ou equivalente executado por conta não-SYSTEM - Criação de arquivo `.dmp` no sistema por processo não relacionado a diagnóstico - Invocação de `MiniDumpWriteDump` via API por processo suspeito (detecção via EDR) - Carregamento de `sekurlsa.dll` ou módulos conhecidos do [[mimikatz|Mimikatz]] em memória - Processo solicitando `SeDebugPrivilege` seguido imediatamente de acesso ao LSASS ## Técnicas Relacionadas - [[T1003001-lsass-memory|T1003.001 — LSASS Memory]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[T1550002-pass-the-hash|T1550.002 — Pass the Hash]] - [[t1558-steal-or-forge-kerberos-tickets|T1558 — Steal or Forge Kerberos Tickets]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] ## Analytics Relacionadas - [[an1030-analytic-1030|AN1030 — Analytic 1030]] --- *Fonte: [MITRE ATT&CK — DET0363](https://attack.mitre.org/detectionstrategies/DET0363)*