Credential Dumping: OS Credential Dumping - Security Account Manager (T1003.002)

Durante un penetration test autorizzato, replicare l'estrazione del SAM dimostra quanto sia critica la protezione degli account locali. Il metodo più diretto utilizza il registro di Windows per salvare le hive necessarie.

Prima di tutto, verifica di avere privilegi SYSTEM lanciando whoami /priv. Se necessario, puoi elevarti utilizzando tecniche come pass-the-hash o sfruttando servizi vulnerabili.

L'estrazione via registro richiede due comandi fondamentali: reg save HKLM\sam C:\temp\sam.save reg save HKLM\system C:\temp\system.save

Questi file vanno poi trasferiti su un sistema sotto il tuo controllo. Puoi utilizzare certutil.exe -encode per codificarli in base64 e esfiltrarli via DNS o HTTP, oppure semplicemente copiarli su una share SMB.

Per l'analisi offline, Impacket offre secretsdump.py che processa direttamente i file estratti. Il comando tipico è python3 secretsdump.py -sam sam.save -system system.save LOCAL, che restituirà gli hash NTLM di tutti gli account locali.

In alternativa, Mimikatz può operare direttamente in memoria senza toccare il disco. Con privilegi SYSTEM, lsadump::sam estrae gli hash senza creare file temporanei, riducendo l'impronta forense.

Su Linux, se hai compromesso un domain controller, secretsdump.py può connettersi remotamente usando credenziali valide per scaricare l'intero database NTDS.dit insieme al SAM locale.

La detection efficace di questa tecnica richiede un approccio multistrato che bilanci accuratezza e volume di alert. Windows Event ID 4656 cattura gli accessi al registro, mentre Sysmon Event ID 12 registra le modifiche alle chiavi.

Configura le tue regole SIEM per rilevare accessi sequenziali a HKLM\SAM e HKLM\SYSTEM entro una finestra temporale di 3 minuti. Questo pattern è altamente indicativo di credential dumping in corso.

Un altro indicatore affidabile è la creazione di file .save o .dmp in directory temporanee subito dopo accessi al registro SAM. Correla gli eventi di processo (Sysmon ID 1) che mostrano reg.exe con parametri "save" seguiti da path contenenti "sam" o "system".

Per ridurre i falsi positivi, escludi i processi di backup legittimi verificando il parent process. Software come Veeam o Windows Backup generano pattern simili ma hanno firme digitali valide e parent process prevedibili.

Implementa anche detection basate sul comportamento anomalo degli account di servizio. Se un account che normalmente non accede al registro inizia improvvisamente a leggere HKLM\SAM, genera un alert ad alta priorità.

Le metriche chiave includono il tempo medio di rilevamento (target sotto i 5 minuti) e il tasso di falsi positivi per questa specifica detection (mantienilo sotto il 2% mensile).

Durante l'analisi post-compromissione, identificare quando e come è avvenuta l'estrazione del SAM fornisce insight critici sulla progressione dell'attacco. Gli artefatti chiave risiedono in molteplici locazioni che vanno correlate per ricostruire la sequenza completa.

Il registro di Windows mantiene timestamp dettagliati nelle chiavi LastWrite dei percorsi HKLM\SAM e HKLM\SYSTEM. Un accesso anomalo si manifesta come modifica del timestamp senza corrispondenti attività di sistema legittime.

Esamina C:\Windows\System32\winevt\Logs\Security.evtx per eventi 4656 e 4663 che mostrano handle aperti verso oggetti SAM. La presenza di SID non standard o processi con nomi casuali indica spesso tool di dumping.

Nel caso di APT41 durante la campagna C0017, gli analisti hanno trovato residui di comandi reg save nella cronologia PowerShell insieme a file SAM.hiv e SYSTEM.hiv in directory temporanee. La correlazione con i log di rete ha mostrato l'esfiltrazione avvenuta 15 minuti dopo l'estrazione.

Per attacchi in memoria come quelli condotti da APT29, cerca anomalie nei crash dump di lsass.exe o pattern di allocazione memoria inusuali catturati da EDR. Tool come Mimikatz lasciano tracce caratteristiche nelle strutture di memoria anche dopo la loro esecuzione.

La timeline reconstruction dovrebbe documentare: momento dell'escalation a SYSTEM, metodo di estrazione utilizzato, percorso di staging dei file estratti, e metodo di esfiltrazione o utilizzo locale degli hash.

L'analisi dei pattern di utilizzo del credential dumping SAM rivela preferenze operative distintive tra i diversi gruppi APT. APT29 mostra una predilezione per l'approccio stealth utilizzando reg save con output in directory di sistema poco monitorate, seguito da esfiltrazione tramite canali DNS custom.

Wizard Spider, operatore ransomware, automatizza l'estrazione SAM all'interno delle loro toolchain per massimizzare la velocità di movimento laterale. I loro dump vengono processati localmente per identificare account con privilegi elevati prima del deployment del ransomware.

FIN13 integra l'estrazione SAM in script PowerShell offuscati, spesso combinandola con tecniche di living-off-the-land per mantenere un profilo basso. La loro metodologia include sempre la pulizia dei file temporanei creati durante l'estrazione.

I gruppi di matrice cinese come Ke3chang e APT41 tendono a utilizzare versioni modificate di tool pubblici come gsecdump, adattandole per bypassare specifiche soluzioni AV prevalenti nelle loro aree target geografiche.

L'overlap negli strumenti utilizzati suggerisce condivisione di risorse nell'underground criminale. SecretsDump.py appare nell'arsenale di 5 gruppi diversi, indicando la sua affidabilità e facilità d'uso anche per operatori meno sofisticati.

La tendenza emergente mostra uno spostamento verso tecniche completamente in-memory per ridurre l'impronta forense, specialmente tra gruppi che targetizzano infrastrutture critiche dove la detection rapida potrebbe compromettere obiettivi a lungo termine.

Tecnica documentata in MITRE ATT&CK T1003.002. Riferimenti alle campagne Operation CuckooBees (APT41), Night Dragon, C0017, FrostyGoop Incident e APT28 Nearest Neighbor. Risorse di detection basate su Sysmon e Windows Security Event Log per credential dumping patterns.