Tag: T1003.001

LSASS Memory Dump via ProcDump Utility

Tato analytika detekuje použití legitimního nástroje Microsoft Sysinternals, procdump.exe, k vytvoření memory dump procesu Local Security Authority Subsystem Service (LSASS). Útočníci tento nástroj zneužívají k extrakci credential materiálů, jako jsou password hashes a Kerberos tickets, z paměti pro offline cracking a lateral movement.

Read more...