Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1003 , T1003.001 , T1003.002 , T1003.003 , T1003.004 , T1003.005 , T1003.006 , T1003.007 , T1003.008
Злоумышленники с доступом SYSTEM к хосту могут попытаться получить доступ к секретам Local Security Authority (LSA), которые могут содержать множество различных учетных данных, например учетные данные учетных записей служб.(Цитата: Passcape LSA Secrets)(Цитата: Microsoft AD Admin Tier Model)(Цитата: Tilbury Windows Credentials) Секреты LSA хранятся в реестре по адресу HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets.Секреты LSA также можно извлечь из памяти.(Цитата: ired Dumping LSA Secrets)
Reg можно использовать для извлечения из реестра.Mimikatz можно использовать для извлечения секретов из памяти.(Цитата: ired Dumping LSA Secrets)
https://attack.mitre.org/techniques/T1003/004
Визуализация смежных техник для T1003.004
| № | Техника |
|---|
