#Note #Tools

چرا LSASS (Local Security Authority Subsystem Service) هدف جذابی برای مهاجمان است؟

پروسس LSASS مسئول مدیریت احراز هویت، توکن‌ها و کلیدهای سیستم عامل است. دسترسی به حافظه آن یعنی دسترسی به مجموعه‌ای از اسرار معتبر سیستم که می‌تواند برای حملات و تکینیک هایی همچون حرکت جانبی (lateral movement)، فرار از تشخیص (Evasion) و ارتقای امتیازات (privilege escalation) مورد سوءاستفاده قرار گیرد.

چه داده‌هایی در حافظهٔ LSASS یافت می‌شوند؟

🏷هش : NTLM hashes (NT hash) | قابل استفاده برای تکنیک‌های Pass-the-Hash

🏷تکیت : Kerberos tickets (TGT / Service Tickets) | قابل استفاده برای تکنیک Pass-the-Ticket.

🏷گذرواژه‌ها و اعتبارنامه‌های متنی (plaintext credentials)| بسته به نسخه/پچ و پیکربندی احراز هویت، ممکن است username/password به‌صورت متن خوانا در حافظه حضور داشته باشند.

🏷کلید: DPAPI master keys و سایر کلیدهای مرتبط | برای بازکردن داده‌های رمزنگاری‌شده محلی یا سرویس‌ها.

🏷سایر داده‌های حساس نظیر LSA secrets, cached credentials و credential blobs که توسط credential providers / SSPها نگهداری می‌شوند.


✒️حالا در این ریپازیتوری با نحوه دامپ گرفتن از پروسس LSASS به چندین روش مختلف آشنا خواهید شد.

🦅 کانال بایت امن | گروه بایت امن
_