T1003.002
Security Account Manager
Security Account Managerتوضیحات
مهاجمان به پایگاه داده SAM دسترسی پیدا میکنند که hash های رمز عبور حسابهای محلی ویندوز را ذخیره میکند.
روشهای شناسایی
نظارت بر دسترسی به فایل SAM. بررسی استفاده از reg save برای استخراج SAM.
روشهای مقابله
محدود کردن دسترسی به فایل SAM. استفاده از Credential Guard.
تکنیک اصلی
T1003OS Credential Dumping
استخراج اطلاعات اعتباری سیستمعامل
مهاجمان اطلاعات اعتباری را از حافظه سیستمعامل، فایلها یا رجیستری استخراج میکنند تا اطلاعات ورود به حساب را به صورت hash یا متن ساده به دست آورند.