В этом видео мы рассмотрим важность дампа памяти процесса LSASS.exe для сбора учетных данных.
В видеоролике представлено введение в дамп памяти процесса LSASS.exe, позволяющее понять, почему этот метод имеет решающее значение и необходим для противника, когда речь идет о жизненном цикле киберуничтожения — бокового перемещения.
Затем в видео приводятся некоторые примеры того, как можно сделать дамп памяти процесса LSASS.exe, причем все эти методы были обнаружены и предотвращены Защитником Microsoft Windows.
После этого было представлено краткое введение в Beacon Object Files (BOF) и показана практическая демонстрация того, как использовать общедоступный загрузчик BOF COFFLoader.exe от TrustedSec для выполнения файла Nanodump BOF (.o).
В конечном итоге удалось успешно выполнить дамп памяти процесса LSASS.exe, обойдя последнюю версию Защитника Windows, запущенную на полностью обновленном компьютере с Windows 11.
Оставайтесь на связи:
Твиттер: https://twitter.com/gemini_security
Юдеми: https://www.udemy.com/user/gemini-88/
Гитхаб: https://github.com/gemini-security
Дискорд: https://discord.gg/u9Qxxbamke
Использованные источники:
Введение в BOF от авторов Cobalt Strike:
https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/beacon-object-files_main.htm
АТАКА MITRE на сброс LSASS:
https://attack.mitre.org/techniques/T1003/001/
Статьи TrustedSec о BOF:
https://www.trustedsec.com/blog/coffloader-building-your-own-in-memory-loader-or-how-to-run-bofs/
https://www.trustedsec.com/blog/operators-guide-to-the-meterpreter-bofloader/
COFFLoader и Nanodump:
https://github.com/trustedsec/COFFLoader
https://github.com/fortra/nanodump
Футболки Gemini Security Awesome Hacking — Поддержите канал:
https://www.redbubble.com/people/GeminiSecurity/shop?asc=u
Пожалуйста, воспользуйтесь возможностью и поделитесь этим видео с друзьями и семьей, если вы найдете его полезным.
No Comments