T1003

استخراج اطلاعات اعتباری سیستم‌عامل

OS Credential Dumping

توضیحات

مهاجمان اطلاعات اعتباری را از حافظه سیستم‌عامل، فایل‌ها یا رجیستری استخراج می‌کنند تا اطلاعات ورود به حساب را به صورت hash یا متن ساده به دست آورند.

شناسهنام

مهاجمان به فرآیند Local Security Authority Subsystem Service دسترسی پیدا می‌کنند تا اطلاعات اعتباری را از حافظه استخراج کنند.

مهاجمان به پایگاه داده SAM دسترسی پیدا می‌کنند که hash های رمز عبور حساب‌های محلی ویندوز را ذخیره می‌کند.

مهاجمان فایل NTDS.dit را که پایگاه داده Active Directory است استخراج می‌کنند تا hash های رمز عبور همه کاربران دامنه را به دست آورند.

مهاجمان رازهای LSA را از رجیستری استخراج می‌کنند که شامل اطلاعات اعتباری سرویس‌ها و حساب‌های کاربری است.

مهاجمان اطلاعات اعتباری دامنه کش شده را از رجیستری استخراج می‌کنند که برای ورود آفلاین استفاده می‌شوند.

مهاجمان از پروتکل replication دامنه برای درخواست hash های رمز عبور از Domain Controller بدون نیاز به دسترسی مستقیم استفاده می‌کنند.

مهاجمان در لینوکس از سیستم فایل /proc برای استخراج اطلاعات اعتباری از حافظه فرآیندها استفاده می‌کنند.

/etc/passwd و /etc/shadow/etc/passwd and /etc/shadow

مهاجمان فایل‌های /etc/passwd و /etc/shadow را در سیستم‌های لینوکس برای استخراج hash های رمز عبور می‌خوانند.

نظارت بر دسترسی به فرآیند LSASS. بررسی ابزارهایی مانند Mimikatz. نظارت بر دسترسی به فایل SAM و NTDS.dit.

فعال‌سازی Credential Guard. محدود کردن دسترسی به LSASS. استفاده از Protected Users security group.