T1003.001
حافظه LSASS
LSASS Memoryتوضیحات
مهاجمان به فرآیند Local Security Authority Subsystem Service دسترسی پیدا میکنند تا اطلاعات اعتباری را از حافظه استخراج کنند.
روشهای شناسایی
نظارت بر دسترسی به فرآیند LSASS. بررسی ابزارهایی مانند Mimikatz و ProcDump.
روشهای مقابله
فعالسازی Credential Guard. محدود کردن دسترسی به LSASS با RunAsPPL.
تکنیک اصلی
T1003OS Credential Dumping
استخراج اطلاعات اعتباری سیستمعامل
مهاجمان اطلاعات اعتباری را از حافظه سیستمعامل، فایلها یا رجیستری استخراج میکنند تا اطلاعات ورود به حساب را به صورت hash یا متن ساده به دست آورند.