作業系統憑證傾印: LSASS記憶體

critical

說明

使用者登入後,攻擊者會嘗試存取儲存在 Local Security Authority Subsystem Service (LSASS) 處理程序記憶體中的憑證資料。

另請參閱

MITRE ATT&CK description

ADsecurity.org - Extract Hashes from LSASS

Microsoft - Using ProcDump

指標詳細資料

名稱: 作業系統憑證傾印: LSASS記憶體

代碼名稱: I-ProcessInjectionLsass

嚴重性: Critical

MITRE 攻擊資訊:
ID: T1003.001
子技術隸屬: **T1003**​
手法: **TA0006**​
所需權限: **管理員、SYSTEM**​