# M1043 — Credential Access Protection ## Descrição A Credential Access Protection foca na implementação de medidas para prevenir que adversários obtenham credenciais, como senhas, hashes, tokens ou chaves, que possam ser usadas para acesso não autorizado. Isso envolve restringir o acesso a mecanismos de armazenamento de credenciais, endurecer configurações para bloquear métodos de credential dumping e usar ferramentas de monitoramento para detectar atividades suspeitas relacionadas a credenciais. Esta mitigação pode ser implementada por meio das seguintes medidas: Restringir Acesso ao Armazenamento de Credenciais: - Caso de uso: Prevenir que adversários acessem o banco de dados SAM (Security Account Manager) em sistemas Windows. - Implementação: Aplicar princípios de menor privilégio e restringir acesso administrativo a repositórios de credenciais como `C:\Windows\System32\config\SAM`. Usar Credential Guard: - Caso de uso: Isolar a memória do LSASS (Local Security Authority Subsystem Service) para prevenir credential dumping. - Implementação: Habilitar Windows Defender Credential Guard em endpoints corporativos para isolar segredos e protegê-los contra acesso não autorizado. Monitorar Ferramentas de Credential Dumping: - Caso de uso: Detectar e bloquear ferramentas conhecidas como Mimikatz ou Windows Credential Editor. - Implementação: Sinalizar comportamento suspeito de processos relacionados a credential dumping. Desabilitar Credenciais em Cache: - Caso de uso: Prevenir que adversários explorem credenciais em cache nos endpoints. - Implementação: Configurar política de grupo para reduzir ou eliminar o uso de credenciais em cache (ex: definir Interactive logon: Number of previous logons to cache como 0). Habilitar Secure Boot e Proteções de Memória: - Caso de uso: Prevenir ataques baseados em memória usados para extrair credenciais. - Implementação: Configurar Secure Boot e aplicar recursos de segurança baseados em hardware como DEP (Data Execution Prevention) e ASLR (Address Space Layout Randomization). ## Fluxo de Implementação ```mermaid graph TB A["Habilitar Credential Guard<br/>Isolar LSASS com VBS"] --> B["Restringir Acesso ao SAM<br/>ACLs e least privilege"] B --> C["Desativar Cache de Credenciais<br/>Reduzir logons em cache"] C --> D["Detectar Dumping<br/>EDR + alertas para Mimikatz"] D --> E["Enforcar Secure Boot<br/>DEP, ASLR, integridade de boot"] ``` ## Contexto LATAM > [!globe] Relevância Regional > A proteção contra roubo de credenciais é crítica no Brasil, onde ataques de OS Credential Dumping ([[t1003-os-credential-dumping|T1003]]) são o passo inicial da maioria dos ataques de ransomware contra empresas brasileiras. Grupos como [[lockbit]] e [[s1070-black-basta-ransomware]] utilizam Mimikatz e ferramentas similares nos primeiros momentos após o comprometimento inicial. > - Adoção em SOCs brasileiros: médio (Credential Guard crescendo, mas ainda limitado por hardware legado) > - Regulamentações relevantes: BACEN 4893 (proteção de credenciais de sistemas financeiros), LGPD (proteção de credenciais que dão acesso a dados pessoais), ISO 27001 Anexo A.9 > - Desafios regionais: parque de endpoints heterogêneo, versões antigas de Windows sem suporte a VBS, custo de renovação de hardware ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1558 | [[t1558-steal-or-forge-kerberos-tickets\|T1558 — Steal or Forge Kerberos Tickets]] | | T1599.001 | [[t1599-001-network-address-translation-traversal\|T1599.001 — Network Address Translation Traversal]] | | T1547.008 | [[t1547-008-lsass-driver\|T1547.008 — LSASS Driver]] | | T1003.001 | [[t1003-001-lsass-memory\|T1003.001 — LSASS Memory]] | | T1601.001 | [[t1601-001-patch-system-image\|T1601.001 — Patch System Image]] | | T1601.002 | [[t1601-002-downgrade-system-image\|T1601.002 — Downgrade System Image]] | | T1558.005 | [[t1558-005-ccache-files\|T1558.005 — Ccache Files]] | | T1601 | [[t1601-modify-system-image\|T1601 — Modify System Image]] | | T1599 | [[t1599-network-boundary-bridging\|T1599 — Network Boundary Bridging]] | | T1003 | [[t1003-os-credential-dumping\|T1003 — OS Credential Dumping]] | --- *Fonte: [MITRE ATT&CK — M1043](https://attack.mitre.org/mitigations/M1043)*