det0430-detect-credentials-access-from-password-stores

# DET0430 — Detect Credentials Access from Password Stores ## Descrição Password stores são repositórios locais de credenciais — Windows Credential Manager, macOS Keychain, gerenciadores de senha de browsers (Chrome, Firefox, Edge) e aplicativos como KeePass — que armazenam senhas, tokens e certificados de forma protegida mas acessível ao usuário autenticado. Adversários comprometendo um sistema com sessão ativa do usuário frequentemente extraem esses stores como fonte rica de credenciais para acesso a outros sistemas, serviços web e contas corporativas. No Windows, ferramentas como [[mimikatz]] (`sekurlsa::wdigest`, `vault::cred`), `cmdkey /list` e acesso direto ao arquivo `%LOCALAPPDATA%\Microsoft\Credentials\` são mecanismos comuns. No macOS, o Keychain pode ser acessado via API `SecItemCopyMatching` sem prompt de senha em contextos específicos, ou via `security` CLI. Browsers modernos criptografam suas password stores com chaves derivadas das credenciais do usuário logado, mas infostealer como [[s1240-redline-stealer]] e [[s1148-raccoon-stealer]] automatizam a extração enquanto a sessão está ativa. A detecção foca no acesso a arquivos e APIs de password stores por processos não relacionados a gerenciadores de senha legítimos. Sysmon Event ID 11 (arquivo criado) monitorando diretórios de credentials, combinado com Event ID 10 (acesso a processo) para processos tentando ler o espaço de memória de processos de browser, são os indicadores mais diretos. ## Indicadores de Detecção - Acesso ao arquivo `%LOCALAPPDATA%\Google\Chrome\User Data\Default\Login Data` por processo não-Chrome - Leitura do diretório `%LOCALAPPDATA%\Microsoft\Credentials\` por processo não-relacionado ao Credential Manager - `cmdkey.exe /list` executado por script ou processo automatizado (não usuário interativo) - API `SecItemCopyMatching` do macOS Keychain chamada por processo sem permissão explícita configurada - Processo de browser sendo acessado para leitura de memória por processo externo (Sysmon Event 10) ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555 — Credentials from Password Stores]] - [[T1555003-credentials-from-web-browsers|T1555.003 — Credentials from Web Browsers]] - [[T1555001-keychain|T1555.001 — Keychain]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] ## Analytics Relacionadas - [[an1198-analytic-1198|AN1198 — Analytic 1198]] - [[an1199-analytic-1199|AN1199 — Analytic 1199]] - [[an1200-analytic-1200|AN1200 — Analytic 1200]] - [[an1201-analytic-1201|AN1201 — Analytic 1201]] --- *Fonte: [MITRE ATT&CK — DET0430](https://attack.mitre.org/detectionstrategies/DET0430)*