Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1003.001 - Память LSASS

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1003 , T1003.001 , T1003.002 , T1003.003 , T1003.004 , T1003.005 , T1003.006 , T1003.007 , T1003.008

Злоумышленники могут попытаться получить доступ к учетным данным, хранящимся в памяти процесса службы Local Security Authority Subsystem Service (LSASS). После входа пользователя в систему система генерирует и хранит в памяти процесса LSASS различные учетные данные. Эти учетные данные могут быть собраны административным пользователем или SYSTEM и использованы для проведения Lateral Movement с помощью Use Alternate Authentication Material.

Помимо методов работы с памятью, память процесса LSASS может быть сброшена с целевого узла и проанализирована на локальной системе.

Например, на целевом хосте используйте procdump:

* procdump -ma lsass.exe lsass_dump

Локально, mimikatz можно запустить с помощью:

* sekurlsa::Minidump lsassdump.dmp
* sekurlsa::logonPasswords

Также можно использовать встроенные инструменты Windows, такие как `comsvcs.dll`:

* rundll32.exe C:\Windows\System32\comsvcs.dll MiniDump PID lsass.dmp full(Citation: Volexity Exchange Marauder March 2021)(Citation: Symantec Attacks Against Government Sector)

Похоже на Image File Execution Options Injection, механизм тихого завершения процесса может быть использован для создания дампа памяти `lsass.exe` через Windows Error Reporting (`WerFault.exe`).(Цитата: Deep Instinct LSASS)

DLL Windows Security Support Provider (SSP) загружаются в процесс LSASS при старте системы. После загрузки в LSA DLL-библиотеки SSP получают доступ к зашифрованным и открытым паролям, хранящимся в Windows, таким как пароль домена любого вошедшего пользователя или PIN-код смарт-карты. Конфигурация SSP хранится в двух ключах реестра: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages и HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages.Злоумышленник может изменить эти ключи реестра, чтобы добавить новые SSP, которые будут загружены при следующей загрузке системы или при вызове функции Windows API AddSecurityPackage.(Цит. по: Graeber 2014)

Для доступа к учетным данным могут использоваться следующие SSP:

* Msv: интерактивные входы, пакетные входы и входы в службы осуществляются с помощью пакета аутентификации MSV.
* Wdigest:Протокол Digest Authentication предназначен для использования в протоколах Hypertext Transfer Protocol (HTTP) и обменах Simple Authentication Security Layer (SASL).(Цитата: TechNet Blogs Credential Protection)
* Kerberos: Предпочитается для взаимной клиент-серверной аутентификации доменов в Windows 2000 и более поздних версиях.
* CredSSP: обеспечивает SSO и аутентификацию на сетевом уровне для служб удаленных рабочих столов.(Цит. по: TechNet Blogs Credential Protection)

https://attack.mitre.org/techniques/T1003/001

← Назад

Визуализация смежных техник для T1003.001

Отрасль:
 с подтехниками
Техника

Закрыть