det0542-registry-and-lsass-monitoring-for-security-support-provider-abuse

# DET0542 — Registry and LSASS Monitoring for Security Support Provider Abuse ## Descrição Security Support Providers (SSPs) são DLLs carregadas pelo processo LSASS (Local Security Authority Subsystem Service) durante a inicialização do Windows para fornecer mecanismos de autenticação adicionais. Adversários abusam deste mecanismo ([[T1547-012-security-support-provider|T1547.012 — Security Support Provider]]) registrando uma DLL maliciosa como SSP adicionando-a à chave de registro `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages` ou `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages`. A DLL maliciosa é então carregada pelo LSASS no próximo boot, executando com os privilégios SYSTEM do LSASS e tendo acesso a todas as credenciais de autenticação que passam pelo processo. Ferramentas como `mimilib.dll` (componente do Mimikatz) são exemplos de SSPs maliciosos que capturam credenciais em texto claro. A persistência via SSP é particularmente furtiva porque a DLL é carregada como parte do processo de boot do sistema, antes de muitos controles de segurança serem inicializados. A detecção primária é via monitoramento de modificações nas chaves de registro de SSP (Event ID 4657 ou Sysmon Event ID 13), seguida de monitoramento do carregamento de novas DLLs pelo processo LSASS. O LSASS em Windows modernos (Protected Process Light — PPL) tem proteções adicionais que dificultam a injeção direta, mas o registro via chaves de registro ainda é possível em muitos ambientes. A auditoria de DLLs carregadas pelo LSASS (Sysmon Event ID 7 com `Image: C:\Windows\System32\lsass.exe`) e a comparação com uma lista de SSPs legítimos conhecidos é o controle detectivo mais direto. ## Indicadores de Detecção - Modificação das chaves `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages` ou `OSConfig\Security Packages` por processo não-sistema - Nova entrada adicionada à lista de Security Packages que não corresponde a DLLs Microsoft assinadas - Sysmon Event ID 7 (DLL carregada) com `Image: lsass.exe` e `ImageLoaded` não assinado ou de caminho não-padrão - Criação de arquivo DLL em `C:\Windows\System32\` por processo não-instalador legítimo - Event ID 4616 (mudança de hora do sistema) próximo a modificação de chave de SSP (técnica de evasão de timestamp) - LSASS carregando DLL de `C:\Windows\Temp\`, `%APPDATA%` ou qualquer caminho fora de `System32` ## Técnicas Relacionadas - [[T1547-012-security-support-provider|T1547.012 — Security Support Provider]] — técnica principal coberta por esta estratégia - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] — família de técnicas de persistência via boot - [[t1003-001-lsass-memory|T1003.001 — LSASS Memory]] — dump de credenciais do LSASS relacionado - [[t1112-modify-registry|T1112 — Modify Registry]] — modificação de chaves de registro para registrar SSP - [[t1055-process-injection|T1055 — Process Injection]] — injeção direta no LSASS como alternativa ## Analytics Relacionadas - [[an1495-analytic-1495|AN1495 — Analytic 1495]] --- *Fonte: [MITRE ATT&CK — DET0542](https://attack.mitre.org/detectionstrategies/DET0542)*