det0472-detect-malicious-password-filter-dll-registration

# DET0472 — Detect Malicious Password Filter DLL Registration ## Descrição Password Filter DLLs são componentes do Windows que são chamados pelo processo LSASS durante cada operação de alteração de senha para aplicar políticas de complexidade customizadas. Adversários que obtêm acesso a controladores de domínio com privilégios suficientes podem registrar uma DLL maliciosa como filtro de senha — recebendo automaticamente cada nova senha em texto claro no momento em que é alterada por qualquer usuário do domínio, sem precisar de qualquer interação adicional. Essa técnica (T1556002) representa um dos vetores de coleta de credenciais de maior impacto em ambientes Active Directory, pois afeta todas as contas do domínio e opera de forma completamente transparente para os usuários. A DLL registrada em `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages` é carregada pelo LSASS na inicialização e recebe as senhas antes que o hash sejá computado, tornando ataques de força bruta offline desnecessários. A detecção requer monitoramento de modificações na chave de registro de filtros de senha, verificação de integridade das DLLs listadas nessa chave, e alertas sobre carregamento de novas DLLs no processo LSASS que não correspondam a filtros aprovados. ## Indicadores de Detecção - Modificação de `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages` adicionando nova DLL - DLL listada em `Notification Packages` com hash desconhecido ou localizada em caminho não padrão - Nova DLL carregada em `lsass.exe` não presente na lista de DLLs aprovadas para o processo - Evento Sysmon 7 (ImageLoad) em `lsass.exe` com `ImageNotSigned` = true para DLL de filtro de senha - Escrita em diretório `%SystemRoot%\System32\` de DLL com nome que imita filtros legítimos (`rassfm.dll`, `scecli.dll`) - Acesso de escrita à chave `Notification Packages` por conta não-DC-admin ou fora de processo de hardening ## Técnicas Relacionadas - [[T1556002-password-filter-dll|T1556.002 — Password Filter DLL]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[T1574001-dll-search-order-hijacking|T1574.001 — DLL Search Order Hijacking]] - [[t1055-process-injection|T1055 — Process Injection]] ## Analytics Relacionadas - [[an1303-analytic-1303|AN1303 — Analytic 1303]] --- *Fonte: [MITRE ATT&CK — DET0472](https://attack.mitre.org/detectionstrategies/DET0472)*