Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1003 , T1003.001 , T1003.002 , T1003.003 , T1003.004 , T1003.005 , T1003.006 , T1003.007 , T1003.008
Злоумышленники могут попытаться извлечь учетные данные из базы данных Security Account Manager (SAM) либо с помощью методов работы с памятью, либо через реестр Windows, где хранится база данных SAM. SAM - это файл базы данных, содержащий локальные учетные записи для хоста, обычно найденные с помощью команды net user. Для перечисления базы данных SAM требуется доступ на уровне SYSTEM.
Для получения файла SAM с помощью методов работы с памятью можно использовать несколько инструментов:
* pwdumpx.exe
* gsecdump
* Mimikatz
* secretsdump.py
Кроме того, SAM можно извлечь из реестра с помощью Reg:
* reg save HKLM\sam sam
* reg save HKLM\system system
Creddump7 может быть использован для локальной обработки базы данных SAM для получения хэшей.(Цитата: GitHub Creddump7)
Примечания:
* Учетная запись RID 500 - это локальный, встроенный администратор.
* RID 501 - учетная запись гостя.
* Учетные записи пользователей начинаются с RID 1,000+.
https://attack.mitre.org/techniques/T1003/002
Визуализация смежных техник для T1003.002
| № | Техника |
|---|
