Furto Credenziali LSASS: LSASS Memory (T1003.001)

L'approccio classico utilizza Sysinternals ProcDump per creare una copia della memoria LSASS. Il comando standard richiede privilegi amministrativi o SYSTEM:

procdump -ma lsass.exe lsass_dump

Una volta ottenuto il dump, l'analisi offline con Mimikatz permette l'estrazione delle credenziali senza generare ulteriore rumore sul sistema target:

sekurlsa::Minidump lsass_dump.dmp sekurlsa::logonPasswords

Windows include nativamente strumenti per il memory dumping. La DLL comsvcs offre funzionalità di debug che possono essere abusate:

rundll32.exe C:\Windows\System32\comsvcs.dll MiniDump [PID] lsass.dmp full

Il PID di lsass.exe si ottiene rapidamente con tasklist | findstr lsass. Questa tecnica risulta particolarmente efficace perché utilizza binari firmati Microsoft, bypassando molte soluzioni di sicurezza.

Per ambienti con Credential Guard disabilitato, l'injection diretta in LSASS rimane possibile. Cobalt Strike automatizza questo processo con il comando hashdump, mentre Empire e Metasploit offrono moduli dedicati.

La raccolta può essere ulteriormente offuscata utilizzando il meccanismo Silent Process Exit di Windows. Configurando opportunamente il registro, si può forzare WerFault.exe a creare dump di memoria quando LSASS termina, apparendo come normale attività di Windows Error Reporting.

Gli attaccanti avanzati modificano il registro SSP (Security Support Provider) per installare DLL personalizzate che intercettano credenziali in chiaro. Le chiavi HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages accettano provider aggiuntivi caricati al boot successivo.

Il rilevamento efficace richiede monitoraggio multi-livello del comportamento dei processi. Sysmon Event ID 10 cattura gli accessi a LSASS con dettagli critici sul processo chiamante e i permessi richiesti.

Un processo non privilegiato che richiede handle con accesso completo (0x1F0FFF) a lsass.exe rappresenta un indicatore ad alta confidenza. La detection rule deve correlare l'accesso con successive operazioni di file creation nel filesystem:

ProcessAccess TargetImage="*\lsass.exe" AND GrantedAccess="0x1F0FFF" 
FOLLOWED BY FileCreate TargetFilename="*.dmp" WITHIN 5 minutes

I falsi positivi derivano principalmente da software antivirus e EDR che legittimamente accedono a LSASS. Una baseline accurata dei processi autorizzati riduce drasticamente il rumore. Google Chrome, VMware Tools e alcuni driver di sistema generano accessi benigni che vanno esclusi tramite whitelist del ParentProcessName.

Il comando rundll32.exe con argomenti contenenti "comsvcs.dll" e "MiniDump" costituisce un pattern univoco di attacco. Similarly, l'esecuzione di Task Manager da linea di comando con switch non documentati merita investigazione immediata.

La creazione di file .dmp in directory temporanee, specialmente con nomi contenenti "lsass", richiede alert prioritario. Molti attaccanti utilizzano percorsi prevedibili come %TEMP% o C:\Windows\Temp per staging iniziale.

L'analisi forense del credential dumping inizia identificando gli artefatti di esecuzione. La Windows Prefetch contiene tracce di tool come mimikatz.exe, anche se rinominati. Il parsing dei file .pf nella directory C:\Windows\Prefetch rivela timestamp precisi e percorsi di esecuzione.

Il registro eventi di Windows Security (Event ID 4656, 4663) documenta gli handle aperti verso lsass.exe. Questi log persistono anche dopo la cancellazione del dump, fornendo evidenza dell'attività di credential access.

APT28 tipicamente lascia tracce di MiniDumpWriteDump nei crash dump di WerFault.exe. L'analisi della directory C:\ProgramData\Microsoft\Windows\WER\ReportQueue può rivelare tentativi di dumping mascherati.

La memoria volatile conserva artefatti critici. I VAD (Virtual Address Descriptors) di lsass.exe mostrano injection e modifiche sospette. Tools come Volatility permettono di identificare DLL non firmate caricate nel processo.

L'USN Journal registra la creazione e cancellazione di file dump. Anche se l'attaccante elimina il file .dmp, il journal mantiene metadata inclusi timestamp e dimensioni, cruciali per ricostruire l'attività.

Le campagne come Operation Wocao mostrano pattern ricorrenti: uso di procdump.exe seguito da trasferimento laterale del dump via SMB. L'analisi dei log SMB correla il furto credenziali con il movimento laterale successivo.

APT28 (Russia) rappresenta l'utilizzatore più sofisticato di credential dumping. Il gruppo mantiene un arsenale diversificato includendo Mimikatz standard e tool custom che abusano MiniDumpWriteDump. La loro traduzione operativa privilegia persistenza long-term, suggerendo che dopo il dumping installeranno backdoor nei domain controller.

Sandworm Team (Russia) ha evoluto le proprie capacità sviluppando plainpwd, un fork modificato di Mimikatz. Durante gli attacchi all'infrastruttura elettrica ucraina, hanno dimostrato interesse per credenziali di sistemi SCADA, indicando targeting di infrastrutture critiche come obiettivo finale post-dumping.

APT41 (Cina) combina hashdump, Mimikatz e Windows Credential Editor in catene di attacco coordinate. La loro firma distintiva include l'uso di Cobalt Strike per automazione, suggerendo campagne su larga scala. Il gruppo tradizionalmente monetizza l'accesso, quindi credenziali rubate potrebbero apparire in marketplace criminali.

FIN8 (Financially-motivated) focalizza su credential dumping per accesso a sistemi di pagamento. Utilizzano Invoke-Mimikatz via PowerShell per evasione, puntando specificamente a credenziali di point-of-sale e controllori di dominio del retail.

I pattern geografici mostrano concentrazione russa/cinese su tool open-source modificati, mentre gruppi iraniani come APT39 preferiscono tool commerciali non modificati. Questa divergenza suggerisce capacità di sviluppo interne differenti e strategie di attribution management.

La presente analisi si basa sul framework MITRE ATT&CK per la tecnica T1003.001. Le campagne documentate includono Operation Wocao, 2016 Ukraine Electric Power Attack, e Triton. Riferimenti tecnici da Microsoft Security, Mandiant, e CrowdStrike threat intelligence.