det0513-detection-of-cached-domain-credential-dumping-via-local-hash-cache-acces

# DET0513 — Detection of Cached Domain Credential Dumping via Local Hash Cache Access ## Descrição O dump de credenciais de domínio em cache local (Domain Cached Credentials — DCC/MSCache) permite que adversários recuperem hashes de senhas de contas de domínio armazenados localmente no Windows para autenticação offline. O Windows armazena por padrão os últimos 10 logins de usuários de domínio no registro em `HKLM\SECURITY\Cache`, protegidos pelo sistema LSASS. Ferramentas como [[mimikatz|Mimikatz]] (`lsadump::cache`) e [[s0357-impacket|Impacket]] (`secretsdump.py`) podem extrair esses hashes para cracking offline. A técnica é mapeada como [[T1003.005-os-credential-dumping-cached-domain-credentials|T1003.005]] no MITRE ATT&CK. Os hashes DCC/MSCache2 não podem ser usados diretamente em ataques Pass-the-Hash mas, uma vez crackeados, fornecem senhas em texto claro que podem ser usadas para autenticação lateral. Em ambientes onde usuários reutilizam senhas entre domínios ou onde as senhas aténdem a requisitos mínimos, o cracking pode ser bem-sucedido em horas ou dias. Grupos APT e operadores de ransomware utilizam essa técnica especialmente em sistemas desconectados da rede de domínio. A detecção foca em acesso não autorizado à chave `HKLM\SECURITY\Cache` (que normalmente é acessível apenas pelo SYSTEM) e na execução de ferramentas de dumping de credenciais reconhecidas. O acesso a essa chave de registro por processos com privilégio de SYSTEM fora do contexto de autenticação normal é um indicador crítico de comprometimento. ## Indicadores de Detecção - Acesso à chave de registro `HKLM\SECURITY\Cache` por processo que não é `lsass.exe` ou componente de autenticação do sistema - Execução de `mimikatz.exe` ou variantes com módulo `lsadump::cache` (detecção por linha de comando ou hash de binário) - Uso de `secretsdump.py` do Impacket para acesso remoto ao registro SECURITY de host alvo - Leitura do hive `SECURITY` via Volume Shadow Copy por processo de linha de comando - Processo com `SeBackupPrivilege` acessando hives do registro protegidos fora de contexto de backup legítimo - Criação de cópia de `SAM` ou `SECURITY` hive em diretório acessível a usuário não-SYSTEM - Tentativa de cracking de hash detectada em sistema com GPU via ferramentas como Hashcat ou John ## Técnicas Relacionadas - [[T1003.005-os-credential-dumping-cached-domain-credentials|T1003.005 — Cached Domain Credentials]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[T1003.002-os-credential-dumping-security-account-manager|T1003.002 — Security Account Manager]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1110-brute-force|T1110 — Brute Force]] ## Analytics Relacionadas - [[an1417-analytic-1417|AN1417 — Analytic 1417]] - [[an1418-analytic-1418|AN1418 — Analytic 1418]] --- *Fonte: [MITRE ATT&CK — DET0513](https://attack.mitre.org/detectionstrategies/DET0513)*