ワンクリックで
detecting-credential-dumping-with-edr
使用 EDR 遥测和 Sysmon 日志检测操作系统凭据转储技术,包括 LSASS 访问、SAM 提取和 DCSync。
Codex または Claude でインストール この Prompt をコピーして Codex、Claude、または他のアシスタントに貼り付けると、Skill ページを確認してインストールできます。
メニュー
使用 EDR 遥测和 Sysmon 日志检测操作系统凭据转储技术,包括 LSASS 访问、SAM 提取和 DCSync。
Codex または Claude でインストール この Prompt をコピーして Codex、Claude、または他のアシスタントに貼り付けると、Skill ページを確認してインストールできます。
SOC 職業分類に基づく
| name | detecting-credential-dumping-with-edr |
| description | 使用 EDR 遥测和 Sysmon 日志检测操作系统凭据转储技术,包括 LSASS 访问、SAM 提取和 DCSync。 |
| domain | cybersecurity |
| subdomain | threat-hunting |
| tags | ["threat-hunting","mitre-attack","credential-dumping","edr","lsass","t1003","proactive-detection"] |
| version | 1.0 |
| author | mahipal |
| license | Apache-2.0 |
| 概念 | 描述 |
|---|---|
| T1003 | 操作系统凭据转储(OS Credential Dumping)——父技术 |
| T1003.001 | LSASS 内存——从 LSASS 进程转储凭据 |
| T1003.002 | 安全账户管理器(SAM)——提取本地密码哈希 |
| T1003.003 | NTDS——从域控制器提取 AD 数据库 |
| T1003.004 | LSA Secrets——访问存储的服务凭据 |
| T1003.005 | 缓存的域凭据(DCC2) |
| T1003.006 | DCSync——通过 DRSUAPI 复制 AD 凭据 |
| LSASS | 本地安全授权子系统服务(Local Security Authority Subsystem Service) |
| GrantedAccess | 表示进程请求访问权限的位掩码 |
| Minidump | comsvcs.dll 等工具使用的内存转储技术 |
| 工具 | 用途 |
|---|---|
| CrowdStrike Falcon | LSASS 访问检测和进程树分析 |
| Microsoft Defender for Endpoint | 凭据访问事件的高级狩猎 |
| Sysmon | 进程访问监控(事件 ID 10) |
| Velociraptor | LSASS 分析的终端工件收集 |
| Elastic Security | 凭据转储指标的关联分析 |
| Splunk | 凭据访问事件分析的 SPL 查询 |
| Volatility | LSASS 凭据提取的内存取证 |
sekurlsa::logonpasswords,导致直接 LSASS 内存读取,GrantedAccess 为 0x1010。rundll32.exe comsvcs.dll MiniDump [LSASS PID] 创建 LSASS 内存转储文件。-ma lsass.exe 参数转储 LSASS 内存。reg save HKLM\SAM sam.bak 提取本地密码哈希。vssadmin create shadow /for=C: 然后从卷影副本复制 ntds.dit。Hunt ID: TH-CRED-DUMP-[DATE]-[SEQ]
Technique: T1003.[子技术]
Source Process: [访问 LSASS/SAM/NTDS 的进程]
Target: [lsass.exe / SAM / NTDS.dit / DC 复制]
Host: [主机名]
User: [账户上下文]
GrantedAccess: [访问掩码(如适用)]
Timestamp: [UTC]
Risk Level: [Critical/High/Medium/Low]
Evidence: [日志条目、进程树、网络活动]
Recommended Action: [密码重置范围、遏制步骤]
通过分析 Zeek dns.log 中的高熵子域名查询、超量查询量、超长查询长度以及异常 DNS 记录类型,检测 DNS 隧道和数据外泄中的隐蔽通道通信。适用于:当需要狩猎基于 DNS 的 C2 或数据外泄通道、调查异常 DNS 查询模式、或响应涉及 DNS 隧道工具(iodine、dnscat2、DNSExfiltrator)的威胁情报时使用。
实施 Google 的 BeyondCorp 零信任访问模型,通过 IAP、Access Context Manager 和 Chrome Enterprise Premium,消除网络边界的隐式信任,强制执行基于身份的访问控制,实现无 VPN 的安全应用访问。适用于将传统 VPN 替换为零信任架构、部署 Identity-Aware Proxy、配置设备信任策略、或为远程办公实施上下文感知访问控制时使用。
在授权的安全评估过程中,使用 Burp Suite 的扫描器、Intruder 和 Repeater 工具识别和验证跨站脚本(XSS)漏洞。适用于 Web 应用渗透测试中检测反射型、存储型和 DOM 型 XSS,验证自动化扫描器报告的 XSS 发现,以及评估 CSP 和 XSS 过滤器的有效性时使用。
攻击活动溯源归因分析涉及系统性地评估证据,以确定哪个威胁行为者或组织对某次网络行动负责。本技能涵盖使用 Diamond Model 和 ACH(竞争假设分析)收集并加权溯源归因指标、分析基础设施重叠、TTP 一致性、恶意软件代码相似性、操作时序模式和语言痕迹,以构建置信度加权的溯源归因评估。
从 PE 文件和内存转储中提取并分析 Cobalt Strike beacon 配置,以识别 C2 基础设施、Malleable C2 配置文件和攻击者操作惯例。
使用 Ghidra 及专用脚本对 Go 编译的恶意软件进行逆向工程,包括函数恢复、字符串提取和去符号表 Go 二进制文件的类型重建。