det0597-detect-unauthorized-access-to-password-managers

# DET0597 — Detect Unauthorized Access to Password Managers ## Descrição Gerenciadores de senhas são alvos de alto valor para adversários que buscam credenciais em massa sem precisar realizar ataques de força bruta individuais. Ao comprometer um único cofre, o atacante pode obter acesso a dezenas ou centenas de contas simultaneamente — tornando essa técnica especialmente atrativa para grupos APT com foco em espionagem e para atores financeiramente motivados como o [[g0032-lazarus-group]] e [[g0046-fin7]]. A detecção foca em acessos anômalos a processos ou arquivos associados a gerenciadores como 1Password, Bitwarden, KeePass e LastPass. Isso inclui leituras não autorizadas do banco de dados de credenciais, injeção de processos no gerenciador e exfiltração dos arquivos de cofre. Ferramentas como [[mimikatz]] e módulos de harvesting de credenciais frequentemente implementam rotinas específicas para extrair senhas desses aplicativos. O monitoramento deve abranger tanto o plano de endpoint (acesso a arquivos `.kdbx`, hooking de API de memória) quanto o plano de rede (exfiltração de cofres via HTTP/S para infraestrutura C2). A correlação entre acesso ao processo do gerenciador e comúnicações de saída incomuns é um indicador forte de comprometimento ativo, frequentemente associado às técnicas [[t1555-credentials-from-password-stores|T1555-credentials-from-password-stores]] e [[t1056-input-capture|T1056-input-capture]]. ## Indicadores de Detecção - Leitura direta de arquivos `.kdbx`, `.agilekeychain` ou `vault.json` por processos não associados ao gerenciador - Injeção de código (`OpenProcess` + `WriteProcessMemory`) no processo do gerenciador de senhas - Acesso à memória de processos como `1Password.exe`, `KeePass.exe`, `LastPass.exe`, `Bitwarden.exe` - Criação de cópias shadow ou dumps de memória contendo strings de gerenciadores - Chamadas a APIs de criptografia (DPAPI) originadas de processos não esperados - Transferência de arquivos com extensão `.kdbx` ou `.agilekeychain` para destinos externos - Execução de ferramentas de harvesting conhecidas como `LaZagne`, `KeeThief` ou módulos Mimikatz ## Técnicas Relacionadas - [[t1555-credentials-from-password-stores|T1555-credentials-from-password-stores]] — técnica primária mapeada a esta estratégia - [[t1056-input-capture|T1056-input-capture]] — keylogging para capturar senha mestra do gerenciador - [[t1003-os-credential-dumping|T1003-os-credential-dumping]] — dump de credenciais relacionadas ao cofre - [[t1539-steal-web-session-cookie|T1539-steal-web-session-cookie]] — sessões de gerenciadores baseados em nuvem - [[t1041-exfiltration-over-c2-channel|T1041-exfiltration-over-c2-channel]] — exfiltração dos arquivos de cofre ## Analytics Relacionadas - [[an1641-analytic-1641|AN1641 — Analytic 1641]] - [[an1642-analytic-1642|AN1642 — Analytic 1642]] - [[an1643-analytic-1643|AN1643 — Analytic 1643]] --- *Fonte: [MITRE ATT&CK — DET0597](https://attack.mitre.org/detectionstrategies/DET0597)*