det0437-detection-of-lsa-secrets-dumping-via-registry-and-memory-extraction

# DET0437 — Detection of LSA Secrets Dumping via Registry and Memory Extraction ## Descrição A extração de segredos LSA (Local Security Authority) é uma técnica amplamente utilizada por atores de ameaça para recuperar credenciais armazenadas no registro do Windows e na memória do processo `lsass.exe`. O LSA armazena senhas em cache de domínio, credenciais de serviços, tokens de autenticação e chaves de criptografia — tornando-se um alvo de alto valor durante a fase de acesso a credenciais de um ataque. Ferramentas como Mimikatz, CrackMapExec e Impacket são frequentemente utilizadas para extrair esses segredos via acesso direto ao registro (`HKLM\SECURITY\Policy\Secrets`) ou por meio de dump de memória do processo LSASS. Adversários com privilégios de administrador local ou de domínio podem acessar essas chaves diretamente, ou utilizar técnicas de injeção de processo para contornar proteções como o Credential Guard. A estratégia de detecção foca em monitorar tentativas de leitura da chave de registro protegida, acesso ao processo LSASS por processos não autorizados, e uso de ferramentas conhecidas de extração de credenciais. A correlação entre eventos de auditoria de objetos e eventos de acesso a processos é essencial para reduzir falsos positivos e identificar comportamento malicioso com precisão. ## Indicadores de Detecção - Acesso de leitura à chave `HKLM\SECURITY\Policy\Secrets` por processos fora do contexto do sistema - Processo não-sistema abrindo `lsass.exe` com permissões `PROCESS_VM_READ` ou `PROCESS_ALL_ACCESS` - Execução de ferramentas como `mimikatz.exe`, `procdump.exe` com target `lsass` ou `sekurlsa` como argumento CLI - Criação de dump de memória (`*.dmp`) em diretórios temporários por processos não autorizados - Uso de `reg save HKLM\SECURITY` ou `reg export` em contexto de usuário não privilegiado - Evento Windows 4656 (acesso a objeto) combinado com evento 10 do Sysmon (ProcessAccess em lsass) - Carregamento de DLLs suspeitas em `lsass.exe` (Sysmon evento 7 com imagem não assinada) ## Técnicas Relacionadas - [[T1003002-security-account-manager|T1003.002 — Security Account Manager]] - [[T1003001-lsass-memory|T1003.001 — LSASS Memory]] - [[T1003004-lsa-secrets|T1003.004 — LSA Secrets]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] ## Analytics Relacionadas - [[an1212-analytic-1212|AN1212 — Analytic 1212]] --- *Fonte: [MITRE ATT&CK — DET0437](https://attack.mitre.org/detectionstrategies/DET0437)*