# T1547.008 - LSASS Driver ## Técnica Pai Sub-técnica de [[t1547-boot-logon-autostart-execution|T1547 - Execução na Inicialização]], classificada na tática de **Persistência** do [[mitre-attack|MITRE ATT&CK]]. ## Descrição Adversários modificam ou inserem drivers maliciosos no processo **LSASS** (`lsass.exe`) para obter persistência profunda em sistemas Windows comprometidos. O **Local Security Authority Subsystem Service (LSASS)** é o componente central do subsistema de segurança do Windows. Ele é responsável pela autenticação de usuários, aplicação de políticas de segurança locais e geração de tokens de acesso. Internamente, o LSASS carrega múltiplas **DLLs de plugins LSA** - bibliotecas que implementam provedores de autenticação, filtros de senha e extensões de notificação. A técnica explora dois mecanismos distintos: a substituição de drivers LSA legítimos por versões trojanizadas, ou a adição de uma nova DLL maliciosa como plugin via chave de registro `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\`. Ao ser registrado como plugin LSA, o payload malicioso é carregado automaticamente a cada inicialização do Windows - dentro do contexto privilegiado do `lsass.exe` - garantindo persistência mesmo após reinicializações e sem necessidade de tarefas agendadas ou entradas de autorun convencionais. Malwares como [[s0176-wingbird|Wingbird]] e [[s0208-pasam|Pasam]] utilizaram exatamente esse mecanismo para manter presença em sistemas Windows. A técnica se relaciona com [[t1574-hijack-execution-flow|Hijack Execution Flow]] quando o adversário substitui um driver legítimo, e com [[t1003-001-lsass-memory|T1003.001]] quando o objetivo inclui também dump de credenciais do processo LSASS. No contexto brasileiro, a técnica é relevante em ataques direcionados a ambientes corporativos de alta segurança - como bancos, seguradoras e órgãos governamentais - onde adversários buscam persistência em servidores de autenticação (Domain Controllers) sem acionar ferramentas de detecção convencionais. A carga no contexto do LSASS confere ao payload os mesmos privilégios do sistema de segurança local, tornando a remoção mais complexa. ## Attack Flow - Fluxo de Ataque ```mermaid graph TB A([Acesso com Privilégios de Administrador]) --> B{Método de abuso} B -->|Substituição| C[Troca de DLL LSA legítima por versão trojanizada] B -->|Inserção| D["Registro de nova DLL via chave LSA no Registry"] C --> E[Driver malicioso carregado no contexto do lsass.exe] D --> E E --> F{Objetivo do adversário} F -->|Persistência| G[Payload executado a cada boot sem autorun visível] F -->|Credenciais| H["Acesso à memória do LSASS - dump de hashes e tickets Kerberos"] F -->|Elevação| I[Execução com privilégios SYSTEM herdados do LSASS] G --> J([Presença Persistente no Sistema]) H --> J I --> J ``` ## Como Funciona **Passo 1 - Registro do Driver Malicioso** Com privilégios de administrador, o adversário adiciona o caminho de uma DLL malicioso na chave de registro `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\` sob o valor `Security Packages` ou `Authentication Packages`. Alternativamente, substitui um dos arquivos DLL já referênciados nessa chave por uma versão modificada que contém o payload embutido, mantendo a assinatura e o comportamento legítimo aparente. **Passo 2 - Carregamento Automático pelo LSASS** Na próxima inicialização do Windows - ou após reinício do serviço LSASS - o sistema carrega todos os plugins registrados. O driver malicioso é injetado no espaço de memória do `lsass.exe`, executando com privilégios `SYSTEM`. Não há necessidade de processo separado ou tarefa agendada; a execução é vinculada ao ciclo de vida do próprio LSASS. **Passo 3 - Exploração do Contexto Privilegiado** Dentro do LSASS, o payload pode capturar credenciais em texto claro ou hashes NTLMv2 de usuários que autenticam na máquina, gerar backdoors de comunicação disfarçados como chamadas LSA legítimas, e impedir sua própria remoção - já que terminá-lo implicaria encerrar o LSASS, causando falha crítica no sistema. ## Detecção ### Regra Sigma - Modificação Suspeita em Plugins LSA ```yaml title: Suspicious LSA Plugin Registration via Registry id: b7d4e921-38a2-5c1f-a093-cd4e8b3f2d44 status: experimental description: > Detecta modificação nas chaves de registro LSA que controlam plugins carregados pelo lsass.exe - método de persistência via LSASS Driver (T1547.008). references: - https://attack.mitre.org/techniques/T1547/008/ author: RunkIntel daté: 2026-03-25 tags: - attack.persistence - attack.t1547.008 logsource: product: windows category: registry_set detection: selection: TargetObject|contains: - '\Control\Lsa\Security Packages' - '\Control\Lsa\Authentication Packages' - '\Control\Lsa\Notification Packages' EventType: SetValue filter_known_legit: Details|contains: - 'msv1_0' - 'schannel' - 'wdigest' - 'kerberos' condition: selection and not filter_known_legit falsepositives: - Instalação de software de autenticação corporativo legítimo - Soluções de SSO ou smart card que registram providers LSA level: high ``` ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1025 | [[m1025-privileged-process-integrity\|M1025 - Privileged Process Integrity]] | Habilitar Protected Process Light (PPL) para o LSASS via `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL = 1`; impede injeção de código não assinado no processo | | M1043 | [[m1043-credential-access-protection\|M1043 - Credential Access Protection]] | Ativar Credential Guard no Windows 10/11 e Windows Server 2016+ para isolar segredos LSA em ambiente virtualizado separado | | M1044 | [[m1044-restrict-library-loading\|M1044 - Restrict Library Loading]] | Usar Windows Defender Application Control (WDAC) ou AppLocker para bloquear carregamento de DLLs não assinadas no contexto do LSASS | ## Software Associado - [[s0176-wingbird|Wingbird]] - backdoor que abusa de plugins LSA para persistência em sistemas Windows - [[s0208-pasam|Pasam]] - malware que registra DLL maliciosa como pacote de autenticação LSA ## Referências *Fonte: [MITRE ATT&CK - T1547.008](https://attack.mitre.org/techniques/T1547/008)*