det0580-detect-network-provider-dll-registration-and-credential-capture

# DET0580 — Detect Network Provider DLL Registration and Credential Capture ## Descrição A técnica de registro de Network Provider DLL ([[T1556.008 - Modify Authentication Process Network Provider DLL|T1556.008]]) permite que adversários interceptem credenciais durante o processo de logon do Windows. O sistema Windows suporta múltiplos provedores de rede que são consultados durante a autenticação: cada DLL registrada em `HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order` recebe as credenciais do usuário (username, domínio, senha em texto claro) durante o logon para autenticar em recursos de rede. Um adversário que registra uma DLL maliciosa como Network Provider obtém acesso a todas as credenciais de logon. Essa técnica foi documentada em toolkits avançados como o `mimilib` do Mimikatz, que inclui um componente `kiwissp` para registro como Security Support Provider (SSP), similar ao mecanismo de Network Provider. A DLL maliciosa registra silenciosamente credenciais em arquivo de texto no disco ou as envia para um servidor remoto. O processo ocorre durante o logon interativo, afetando tanto sessões locais quanto RDP. A detecção monitora modificações na chave de registro `HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order` e na chave `ProviderPath` das entradas individuais, além de carregamento de DLLs não-Microsoft pelo processo `lsass.exe` durante logon. A ausência de assinatura digital válida em uma DLL carregada por lsass deve gerar alerta crítico imediato. ## Indicadores de Detecção - Modificação em `HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order` adicionando entrada nova - DLL de path não-padrão referênciada em `ProviderPath` de novo provedor de rede registrado - Sysmon Event ID 7: DLL sem assinatura Microsoft carregada por `lsass.exe` durante logon - Arquivo de texto novo em path de sistema com padrão de nome de credencial dump logo após logon - Chamada `NPLogonNotify` em DLL fora dos providers legítimos do Windows - Event ID 4657 (registro modificado): chave NetworkProvider alterada por processo não-administrativo ## Técnicas Relacionadas - [[T1556.008-modify-authentication-process-network-provider-dll|T1556.008 — Network Provider DLL]] - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1003-os-credential-dumping|T1003 — OS Credential Dumping]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[T1547.005-boot-or-logon-autostart-execution-security-support-provider|T1547.005 — Security Support Provider]] ## Analytics Relacionadas - [[an1598-analytic-1598|AN1598 — Analytic 1598]] --- *Fonte: [MITRE ATT&CK — DET0580](https://attack.mitre.org/detectionstrategies/DET0580)*