Saccheggio Credenziali Windows: LSA Secrets (T1003.004)

L'estrazione dei segreti LSA richiede privilegi SYSTEM, quindi il primo passo è sempre l'escalation. Una volta ottenuti, hai diverse opzioni operative.

Il metodo più diretto utilizza il registro Windows. Con reg save HKLM\SECURITY\Policy\Secrets C:\temp\secrets.hive esporti l'intero hive contenente i segreti cifrati. APT29 ha dimostrato l'efficacia di questo approccio nelle sue campagne, estraendo offline i dati per analizzarli in sicurezza.

Per un'estrazione in memoria, Mimikatz rimane lo strumento principe: mimikatz # lsadump::secrets

Questo comando decodifica immediatamente i segreti, mostrando in chiaro password di servizi come IIS_WPG o ASPNET. La bellezza sta nella semplicità: nessun file temporaneo, output immediato.

Se preferisci Python, Impacket offre secretsdump.py: python secretsdump.py -system SYSTEM -security SECURITY LOCAL

Questo approccio funziona anche offline, processando gli hive di registro copiati da un sistema compromesso. Ember Bear ha utilizzato proprio questa tecnica nelle sue operazioni.

Per ambienti Linux che devono interagire con Windows, CrackMapExec automatizza l'intero processo: crackmapexec smb 192.168.1.0/24 -u admin -p password --lsa

Lo strumento si connette via SMB, estrae i segreti e li presenta in formato leggibile. Ideale per test su larga scala.

Un approccio più sofisticato combina LaZagne con persistenza. Prima installi il tool, poi lo configuri per estrarre periodicamente nuovi segreti aggiunti al sistema. MuddyWater e Leafminer hanno perfezionato questa tecnica per mantenere accesso prolungato.

La detection efficace richiede monitoraggio su più livelli. Il primo indicatore chiave è l'accesso al registro SECURITY\Policy\Secrets da processi non di sistema.

Configura Sysmon per catturare gli eventi di registro con EventID 12 e 13. Un processo user-land che accede a HKLM\SECURITY\Policy\Secrets è quasi sempre malevolo. L'eccezione principale sono i backup agent legittimi, facilmente whitelistabili per nome e hash.

Il caricamento di moduli sospetti in LSASS rappresenta un altro punto di detection critico. Monitora EventID 7 di Sysmon per DLL caricate in lsass.exe. Moduli come lsasrv.dll o sechost.dll caricati da processi utente indicano tentativo di memory scraping.

Per ridurre i falsi positivi, implementa una logica di correlazione temporale. Se vedi accesso al registro SECURITY seguito entro 5 minuti da esecuzione di tool di compressione o trasferimento file, l'alert diventa alta priorità.

Windows Security Log fornisce visibilità complementare. EventID 4656 e 4663 tracciano accessi a oggetti sensibili. Filtra per AccessMask 0x2 o 0x4 su percorsi contenenti "Policy\Secrets" per catturare tentativi di lettura.

Un approccio comportamentale monitora l'uso di reg.exe con parametri save o export su hive SECURITY. Questo pattern, documentato in APT29, è facilmente rilevabile via command-line logging.

Per ambienti cloud, Azure Sentinel o Splunk possono aggregare questi indicatori in una singola detection rule. La chiave sta nel bilanciare sensibilità e specificità: meglio qualche falso positivo gestibile che perdere un'estrazione reale.

L'analisi forense dell'estrazione LSA Secrets lascia tracce distintive nel sistema. Il registro SECURITY stesso mantiene timestamp di ultimo accesso, visibili confrontando le date di modifica con quelle di altri hive.

Nel file system, cerca artefatti di esportazione. I comandi reg save creano file .hive temporanei, spesso in %TEMP% o directory di staging dell'attaccante. Anche se cancellati, $MFT e journal NTFS possono conservarne traccia per settimane.

La memoria volatile offre indicatori preziosi. Un dump di LSASS.exe può rivelare quali moduli erano caricati al momento dell'estrazione. Tool come Volatility con plugin lsadump mostrano se Mimikatz o similari hanno operato sul processo.

Event Log fornisce sequenze temporali precise. Cerca pattern di:

1. Elevazione privilegi (EventID 4672)
2. Accesso a oggetti SECURITY (EventID 4663)
3. Creazione processi sospetti (EventID 4688)
4. Possibile esfiltrazione (connessioni di rete anomale)

Prefetch e Shimcache documentano l'esecuzione di tool. LaZagne.exe, gsecdump.exe o secretsdump.py lasciano entry caratteristiche. La correlazione temporale con gli accessi al registro conferma la sequenza d'attacco.

Threat Group-3390 ha dimostrato come concatenare l'estrazione dai domain controller. Cerca evidenze di movimento laterale post-estrazione: nuove connessioni SMB, uso di account di servizio precedentemente dormienti, accessi a share di rete con le credenziali rubate.

Per casi complessi, l'analisi di VSS (Volume Shadow Copies) può rivelare stati precedenti del registro, mostrando quando nuovi segreti sono stati aggiunti e potenzialmente compromessi.

L'uso di LSA Secrets varia significativamente tra i gruppi APT, rivelando priorità operative e sofisticazione tecnica.

APT29 (Cozy Bear) dimostra l'approccio più metodico. L'uso di reg save per estrazione offline indica pazienza operativa e preferenza per analisi fuori banda. Questo gruppo russo tipicamente concatena l'estrazione LSA con movimento laterale mirato verso domain controller e sistemi di gestione cloud.

MuddyWater, di matrice iraniana, preferisce LaZagne per la sua versatilità. Il pattern ricorrente mostra deployment via PowerShell, estrazione credenziali, poi pivot immediato verso sistemi OWA (Outlook Web Access). La focalizzazione su email aziendali suggerisce obiettivi di intelligence economica.

Dragonfly integra SecretsDump in campagne contro infrastrutture critiche. Il gruppo prima mappa l'intera rete OT/IT, poi usa LSA Secrets per accedere a HMI e SCADA. L'overlap di tool con Ember Bear suggerisce possibile condivisione di risorse o TTP tra attori russi.

OilRig mostra evoluzione tattica nel tempo. Inizialmente focalizzato su credenziali locali, ora combina LSA extraction con token theft per accessi cloud. Il gruppo mantiene infrastructure dedication: server C2 separati per ogni fase dell'operazione.

Pattern geografici emergono chiaramente. Gruppi mediorientali (APT33, OilRig, Leafminer) privilegiano tool pubblici modificati. Attori cinesi (Ke3chang, menuPass) sviluppano varianti custom di tool opensource. Russi (APT29, Dragonfly) mescolano strumenti commerciali e sviluppi proprietari.

L'evoluzione verso IceApple, malware modulare con capacità native di LSA extraction, indica trend verso integration di funzionalità precedentemente separate. Aspettati APT che embedded questa capacità direttamente in implant persistenti piuttosto che caricare tool esterni.

Framework MITRE ATT&CK T1003.004. Tecniche documentate in campagne APT29 (2020), Dragonfly operations (2017-2023), MuddyWater Middle East campaigns. Detection guidelines da Sigma rules repository e Elastic Security detection rules. ROI metrics da Ponemon Cost of Data Breach Report 2023.