一键导入
detecting-credential-dumping-with-edr
使用 EDR 遥测和 Sysmon 日志检测操作系统凭据转储技术,包括 LSASS 访问、SAM 提取和 DCSync。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
菜单
使用 EDR 遥测和 Sysmon 日志检测操作系统凭据转储技术,包括 LSASS 访问、SAM 提取和 DCSync。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
基于 SOC 职业分类
通过分析 Zeek dns.log 中的高熵子域名查询、超量查询量、超长查询长度以及异常 DNS 记录类型,检测 DNS 隧道和数据外泄中的隐蔽通道通信。适用于:当需要狩猎基于 DNS 的 C2 或数据外泄通道、调查异常 DNS 查询模式、或响应涉及 DNS 隧道工具(iodine、dnscat2、DNSExfiltrator)的威胁情报时使用。
实施 Google 的 BeyondCorp 零信任访问模型,通过 IAP、Access Context Manager 和 Chrome Enterprise Premium,消除网络边界的隐式信任,强制执行基于身份的访问控制,实现无 VPN 的安全应用访问。适用于将传统 VPN 替换为零信任架构、部署 Identity-Aware Proxy、配置设备信任策略、或为远程办公实施上下文感知访问控制时使用。
在授权的安全评估过程中,使用 Burp Suite 的扫描器、Intruder 和 Repeater 工具识别和验证跨站脚本(XSS)漏洞。适用于 Web 应用渗透测试中检测反射型、存储型和 DOM 型 XSS,验证自动化扫描器报告的 XSS 发现,以及评估 CSP 和 XSS 过滤器的有效性时使用。
攻击活动溯源归因分析涉及系统性地评估证据,以确定哪个威胁行为者或组织对某次网络行动负责。本技能涵盖使用 Diamond Model 和 ACH(竞争假设分析)收集并加权溯源归因指标、分析基础设施重叠、TTP 一致性、恶意软件代码相似性、操作时序模式和语言痕迹,以构建置信度加权的溯源归因评估。
从 PE 文件和内存转储中提取并分析 Cobalt Strike beacon 配置,以识别 C2 基础设施、Malleable C2 配置文件和攻击者操作惯例。
使用 Ghidra 及专用脚本对 Go 编译的恶意软件进行逆向工程,包括函数恢复、字符串提取和去符号表 Go 二进制文件的类型重建。
| name | detecting-credential-dumping-with-edr |
| description | 使用 EDR 遥测和 Sysmon 日志检测操作系统凭据转储技术,包括 LSASS 访问、SAM 提取和 DCSync。 |
| domain | cybersecurity |
| subdomain | threat-hunting |
| tags | ["threat-hunting","mitre-attack","credential-dumping","edr","lsass","t1003","proactive-detection"] |
| version | 1.0 |
| author | mahipal |
| license | Apache-2.0 |
| 概念 | 描述 |
|---|---|
| T1003 | 操作系统凭据转储(OS Credential Dumping)——父技术 |
| T1003.001 | LSASS 内存——从 LSASS 进程转储凭据 |
| T1003.002 | 安全账户管理器(SAM)——提取本地密码哈希 |
| T1003.003 | NTDS——从域控制器提取 AD 数据库 |
| T1003.004 | LSA Secrets——访问存储的服务凭据 |
| T1003.005 | 缓存的域凭据(DCC2) |
| T1003.006 | DCSync——通过 DRSUAPI 复制 AD 凭据 |
| LSASS | 本地安全授权子系统服务(Local Security Authority Subsystem Service) |
| GrantedAccess | 表示进程请求访问权限的位掩码 |
| Minidump | comsvcs.dll 等工具使用的内存转储技术 |
| 工具 | 用途 |
|---|---|
| CrowdStrike Falcon | LSASS 访问检测和进程树分析 |
| Microsoft Defender for Endpoint | 凭据访问事件的高级狩猎 |
| Sysmon | 进程访问监控(事件 ID 10) |
| Velociraptor | LSASS 分析的终端工件收集 |
| Elastic Security | 凭据转储指标的关联分析 |
| Splunk | 凭据访问事件分析的 SPL 查询 |
| Volatility | LSASS 凭据提取的内存取证 |
sekurlsa::logonpasswords,导致直接 LSASS 内存读取,GrantedAccess 为 0x1010。rundll32.exe comsvcs.dll MiniDump [LSASS PID] 创建 LSASS 内存转储文件。-ma lsass.exe 参数转储 LSASS 内存。reg save HKLM\SAM sam.bak 提取本地密码哈希。vssadmin create shadow /for=C: 然后从卷影副本复制 ntds.dit。Hunt ID: TH-CRED-DUMP-[DATE]-[SEQ]
Technique: T1003.[子技术]
Source Process: [访问 LSASS/SAM/NTDS 的进程]
Target: [lsass.exe / SAM / NTDS.dit / DC 复制]
Host: [主机名]
User: [账户上下文]
GrantedAccess: [访问掩码(如适用)]
Timestamp: [UTC]
Risk Level: [Critical/High/Medium/Low]
Evidence: [日志条目、进程树、网络活动]
Recommended Action: [密码重置范围、遏制步骤]