OS 認証情報のダンプ: LSASSメモリ

critical

説明

ユーザーがログオンした後、ローカルセキュリティ機関サブシステムサービス (LSASS) のプロセスメモリに保存されている認証情報マテリアルに攻撃者がアクセスしようとすることがあります。

参考資料

MITRE ATT&CK description

ADsecurity.org - Extract Hashes from LSASS

Microsoft - Using ProcDump

インジケーターの詳細

名前: OS 認証情報のダンプ: LSASSメモリ

コード名: I-ProcessInjectionLsass

深刻度: Critical

MITRE ATT&CK 情報:
ID: T1003.001
サブテクニック: T1003
戦術: TA0006