跳转至

T1003-win-使用Windows任务管理器转储Lsass.exe内存

来自ATT&CK的描述

凭据转储是从操作系统和软件获取账号登录名和密码(哈希或明文密码)信息的过程。然后可以使用凭据来执行横向移动并访问受限制的信息。

攻击者和专业安全测试人员都可能会使用此技术中提到的几种工具。也可能存在其他自定义工具。

测试案例

lsass.exe的内存经常被转储用于离线凭证窃取攻击。这可以通过Windows任务管理器和管理权限来实现

检测日志

暂无, 经过实际测试,未发现存在windows安全日志记录,未对其他类型日志进行分析。

测试复现

按照这些步骤执行:

  1. 打开任务管理器:在Windows系统上,这可以通过按”CTRL-ALT-DEL“并选择任务管理器或右键单击任务栏并选择“任务管理器”来完成。

  2. 选择lsass.exe:如果lsass.exe不可见,请选择“显示所有用户的进程”。这将允许你看到lsass.exe的执行并选择它进行操作。

  3. 转储lsass.exe内存:在任务管理器中右键单击lsass.exe。选择“创建转储文件”。弹出对话框将显示保存文件的路径。

测试留痕

检测规则/思路

建议

参考推荐

MITRE-ATT&CK-T1003

https://attack.mitre.org/techniques/T1003/

Dump Lsass内存转储新旧方法

https://www.cnblogs.com/zUotTe0/p/14553082.html