# PROC - LSASS: Extração de Credenciais da Memória do Processo LSASS > [!critical] Procedimento de acesso a credenciais mais utilizado por grupos APT e operadores de ransomware. O processo LSASS armazena hashes NTLM, tickets Kerberos e senhas em texto claro na memória, tornando-se o alvo prioritário para movimentação lateral e dominação de domínio. ## Visão Geral O **Local Security Authority Subsystem Service (LSASS)** é um processo crítico do Windows (`lsass.exe`) responsável por autenticação local e de domínio, gerenciamento de políticas de segurança e geração de tokens de acesso. Por design, o LSASS mantém em memória credenciais de usuários autenticados - incluindo hashes NTLM, tickets Kerberos TGT/TGS, senhas em texto claro (quando WDigest está habilitado) e credenciais de sessões RDP. Essa característica arquitetural faz do LSASS o alvo mais valioso para adversários que buscam acesso a credenciais. A técnica [[t1003-001-lsass-memory|T1003.001]] documenta o dump de memória do LSASS como vetor primário de credential access no framework [[t1003-os-credential-dumping|MITRE ATT&CK]]. Ferramentas como [[mimikatz|Mimikatz]] popularizaram a extração automatizada, mas adversários sofisticados utilizam cada vez mais métodos **Living-off-the-Land (LOTL)** - como `comsvcs.dll`, `ProcDump` e o próprio Task Manager - para evitar detecção por soluções de EDR. Este procedimento é utilizado por mais de 54 grupos de ameaças catalogados pelo MITRE ATT&CK, desde operações de espionagem estatal ([[g0016-apt29|APT29]], [[g0007-apt28|APT28]], [[g0032-lazarus-group|Lazarus Group]]) até operadores de ransomware ([[lockbit|LockBit]], [[BlackCat]]). No Brasil, a técnica é especialmente eficaz em ambientes com redes planas, sem segmentação adequada e sem proteções como **Credential Guard** - cenário comum em organizações de médio porte nos setores [[financial|financeiro]] e [[government|governo]]. A criticidade deste procedimento reside no efeito cascata: uma única extração bem-sucedida pode revelar credenciais de administradores de domínio, permitindo ao adversário comprometer toda a infraestrutura Active Directory em questão de minutos. ## Attack Flow ```mermaid graph TB A["1. Acesso Inicial<br/>Phishing ou Exploit"] --> B["2. Escalação de Privilégio<br/>SeDebugPrivilege necessário"] B --> C["3. Dump LSASS<br/>Mimikatz / comsvcs.dll / ProcDump"] C --> D["4. Extração de Credenciais<br/>Hashes NTLM + Tickets Kerberos"] D --> E["5. Movimentação Lateral<br/>Pass-the-Hash / Pass-the-Ticket"] E --> F["6. Dominação de Domínio<br/>DCSync / Golden Ticket"] classDef attack fill:#e74c3c,stroke:#c0392b,color:#ecf0f1 classDef critical fill:#e67e22,stroke:#d35400,color:#ecf0f1 classDef lateral fill:#9b59b6,stroke:#8e44ad,color:#ecf0f1 classDef domain fill:#2c3e50,stroke:#1a252f,color:#ecf0f1 class A attack class B attack class C critical class D critical class E lateral class F domain ``` **Legenda:** O estágio de **Credential Access** (nós 3-4) é o ponto central desta procedure. A partir dele, o adversário obtém capacidade de [[t1550-001-pass-the-hash|Pass-the-Hash]], [[t1550-003-pass-the-ticket|Pass-the-Ticket]] e [[t1003-006-dcsync|DCSync]]. ## Como Funciona ### Métodos de Extração | Método | Ferramenta | Tipo | Detecção | |--------|-----------|------|----------| | Interativo | Mimikatz `sekurlsa::logonpasswords` | Ferramenta ofensiva | Alta (assinatura conhecida) | | LOTL (MiniDump) | `rundll32 comsvcs.dll MiniDump` | Living-off-the-Land | Média (binário legítimo) | | LOTL (SysInternals) | `procdump -ma lsass.exe` | Living-off-the-Land | Média (ferramenta MS legítima) | | Manual | Task Manager > Create Dump File | Interface gráfica | Baixa (ação manual do operador) | | Evasivo | Nanodump / dumpert | Unhooking + syscalls diretas | Baixa (evita hooks de EDR) | | Remoto | CrackMapExec `--lsa` | Rede | Alta (tráfego lateral detectável) | ### Método 1 - Mimikatz (sekurlsa::logonpasswords) A ferramenta clássica de extração. Requer `SeDebugPrivilege` (tipicamente Administrator/SYSTEM). ``` mimikatz.exe privilege::debug sekurlsa::logonpasswords ``` Saída inclui: nome de usuário, domínio, hash NTLM, hash SHA1, tickets Kerberos e, se WDigest habilitado, senha em texto claro. ### Método 2 - comsvcs.dll via rundll32 (LOTL) Utiliza binário nativo do Windows para criar dump do processo LSASS sem ferramentas externas. Muito utilizado por [[g0046-fin7|FIN7]] e operadores de [[lockbit|LockBit]]. ``` # Identificar PID do lsass.exe tasklist /fi "imagename eq lsass.exe" # Criar dump via comsvcs.dll (requer elevação) rundll32.exe C:\Windows\System32\comsvcs.dll, MiniDump <PID> C:\temp\lsass.dmp full ``` O dump é posteriormente exfiltrado e processado offline com Mimikatz (`sekurlsa::minidump lsass.dmp`). ### Método 3 - ProcDump (SysInternals) Ferramenta legítima da Microsoft, frequentemente já presente em servidores para diagnóstico. ``` procdump.exe -ma lsass.exe lsass.dmp ``` Utilizado por [[g0016-apt29|APT29]] em campanhas documentadas de espionagem. ### Método 4 - Task Manager (Manual) Acesso via interface gráfica: Task Manager > Aba Details > `lsass.exe` > Create Dump File. Gera dump em `%TEMP%`. Método simples, sem ferramentas adicionais, utilizado em operações hands-on-keyboard. ## Detecção ### Eventos e Telemetria | Fonte | Event ID | Descrição | Prioridade | |-------|----------|-----------|------------| | Sysmon | **10** | ProcessAccess em lsass.exe (GrantedAccess: 0x1010, 0x1410, 0x1438) | P1 | | Sysmon | **1** | ProcessCreate - execução de mimikatz, procdump, nanodump | P1 | | Sysmon | **11** | FileCreate - criação de arquivos .dmp contendo "lsass" | P2 | | Security | **4688** | Process Creation com argumentos suspeitos (comsvcs, MiniDump) | P2 | | Security | **4663** | Object Access em lsass.exe | P2 | | Defender | **1005** | Real-time protection detectou ferramenta ofensiva | P1 | ### Regra Sigma - Acesso ao Processo LSASS ```yaml title: Suspicious LSASS Process Access logsource: category: process_access product: windows detection: selection: TargetImage|endswith: '\lsass.exe' GrantedAccess|contains: - '0x1010' - '0x1410' - '0x1438' - '0x143a' - '0x1fffff' filter_legitimate: SourceImage|endswith: - '\csrss.exe' - '\wininit.exe' - '\wmiprvse.exe' - '\svchost.exe' - '\MsMpEng.exe' condition: selection and not filter_legitimate level: critical ``` ### Regra Sigma - comsvcs.dll MiniDump ```yaml title: LSASS Dump via comsvcs.dll logsource: category: process_creation product: windows detection: selection: CommandLine|contains|all: - 'comsvcs' - 'MiniDump' condition: selection level: critical ``` ## Mitigação | Controle | Descrição | Mitigação MITRE | |----------|-----------|-----------------| | **Credential Guard** | Isola credenciais em ambiente virtualizado (VBS), impedindo extração mesmo com SYSTEM | [[m1043-credential-access-protection\|M1043]] | | **LSA Protection (RunAsPPL)** | Configura lsass.exe como Protected Process Light - bloqueia acesso de processos não-assinados | [[m1043-credential-access-protection\|M1043]] | | **Desabilitar WDigest** | Remove armazenamento de senhas em texto claro: `HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential = 0` | [[m1027-password-policies\|M1027]] | | **Privileged Access Workstations** | Administradores de domínio operam apenas em estações dedicadas e isoladas | [[m1026-privileged-account-management\|M1026]] | | **Tiered Administration** | Separação de credenciais Tier 0/1/2 - credenciais de domínio nunca tocam endpoints | [[m1026-privileged-account-management\|M1026]] | | **Segmentação de Rede** | Limitar movimentação lateral mesmo após obtenção de credenciais | [[m1030-network-segmentation\|M1030]] | | **Monitoramento Sysmon** | Sysmon Event ID 10 com foco em GrantedAccess para lsass.exe | [[m1040-behavior-prevention-on-endpoint\|M1040]] | ### Configuração Recomendada - LSA Protection ``` # Habilitar RunAsPPL via Registry reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RunAsPPL /t REG_DWORD /d 1 /f # Habilitar Credential Guard via Group Policy # Computer Configuration > Administrative Templates > System > Device Guard # > Turn On Virtualization Based Security > Credential Guard: Enabled with UEFI lock ``` ## Atores que Utilizam | Ator | Método Preferido | Contexto | |------|-----------------|----------| | [[apt29\|APT29]] | ProcDump, Mimikatz | Espionagem governamental, campanhas SolarWinds | | [[apt28\|APT28]] | Mimikatz, secretsdump | Espionagem militar e política | | [[lazarus-group\|Lazarus Group]] | Mimikatz customizado | Operações financeiras e destrutivas | | [[sandworm-team\|Sandworm]] | Mimikatz, comsvcs.dll | Ataques destrutivos contra infraestrutura | | [[fin7\|FIN7]] | comsvcs.dll, ProcDump | Ataques financeiros em ambientes POS/corporativos | | [[wizard-spider\|Wizard Spider]] | Mimikatz, LSASS dump | Operações TrickBot/Conti/Ryuk | | [[lockbit\|LockBit Operators]] | comsvcs.dll, nanodump | Ransomware - pré-criptografia para maximizar impacto | | [[BlackCat]] | Mimikatz, LaZagne | Ransomware com dupla extorsão | | [[hafnium\|HAFNIUM]] | ProcDump | Exploração Exchange + dump para persistência | | [[turla\|Turla]] | Mimikatz customizado | Espionagem de longo prazo em alvos governamentais | ## Relevância LATAM/Brasil > [!latam] Impacto Regional > O dump de LSASS é especialmente devastador em ambientes brasileiros devido a fatores estruturais: redes planas sem segmentação, baixa adoção de Credential Guard, e reutilização extensiva de credenciais privilegiadas. ### Cenário Regional **Operadores de ransomware no Brasil** - grupos como [[lockbit|LockBit]] e [[BlackCat]] utilizam LSASS dumping como etapa padrão em operações contra alvos brasileiros nos setores [[financial|financeiro]], [[healthcare|saúde]] e [[government|governo]]. A cadeia típica observada pelo CTIR Gov e CERTs regionais segue o padrão: acesso inicial via phishing ou VPN comprometida, escalação para administrador local, dump de LSASS, e movimentação lateral até o Domain Controller. **Fatores agravantes no Brasil:** - **Redes planas** - muitas organizações de médio porte não implementam segmentação entre estações e servidores, facilitando movimentação lateral após obtenção de credenciais - **Credential Guard ausente** - requer hardware compatível com VBS (Virtualization Based Security), indisponível em parques computacionais mais antigos - **WDigest habilitado** - sistemas legados com Windows Server 2012/2012 R2 sem patches frequentemente mantêm WDigest ativo, expondo senhas em texto claro - **Reutilização de credenciais** - administradores utilizando as mesmas credenciais em múltiplos servidores, amplificando o impacto de uma única extração - **Monitoramento limitado** - baixa adoção de Sysmon e SIEM em organizações fora do setor financeiro regulado **Recomendação prioritária para organizações brasileiras:** implementar LSA Protection (RunAsPPL) como medida imediata de baixo custo, seguida de Credential Guard quando o hardware suportar, e adotar modelo de administração em camadas (Tiered Administration) para isolar credenciais de domínio. ## Referências - [MITRE ATT&CK - T1003.001: LSASS Memory](https://attack.mitre.org/techniques/T1003/001/) - [Microsoft - Configuring LSA Protection](https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection) - [Microsoft - Credential Guard Overview](https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/) - [Mimikatz Wiki - sekurlsa module](https://github.com/gentilkiwi/mimikatz/wiki) - [CISA - Detecting LSASS Credential Dumping](https://www.cisa.gov/news-events/cybersecurity-advisories) - [Red Canary - LSASS Access Detection](https://redcanary.com/threat-detection-report/) - [The DFIR Report - LSASS Dumping Techniques](https://thedfirreport.com/) - [Sigma Rules - LSASS Access](https://github.com/SigmaHQ/sigma)