# T1003.001 - LSASS Memory ## Técnica Pai Esta é uma sub-técnica de [[t1003-os-credential-dumping|T1003 - T1003 - OS Credential Dumping]]. ## Descrição T1003.001 - LSASS Memory é uma das técnicas de roubo de credenciais mais exploradas em ataques avançados contra ambientes Windows. O processo LSASS (Local Security Authority Subsystem Service) é responsável por autenticar usuários no sistema operacional e, por consequência, mantém em memória uma variedade de materiais de credencial: hashes NTLM, tickets Kerberos, senhas em texto claro (em sistemas com Wdigest habilitado) e PINs de smartcard. Um adversário com privilégios administrativos ou SYSTEM pode acessar ou despejar essa memória para extrair essas credenciais e utilizá-las em movimento lateral via [[t1550-use-alternate-authentication-material|Use Alternaté Authentication Material]] ou Pass-the-Hash. O dumping pode ocorrer de duas formas principais: acesso direto à memória do processo em execução (usando APIs do Windows como `OpenProcess` + `MiniDumpWriteDump`) ou extração de um arquivo de despejo do LSASS para análise offline. A ferramenta [[s0154-cobalt-strike|Cobalt Strike]] implementa ambas as abordagens em seus módulos `sekurlsa`. Técnicas de evasão evoluíram significativamente: uso de `comsvcs.dll` via `rundll32.exe`, abuso do mecanismo de Silent Process Exit com `WerFault.exe`, injeção de SSPs (Security Support Providers) maliciosos nos registros `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages`, e drivers maliciosos em modo kernel que contornam o PPL (Protected Process Light) do LSASS. **Contexto Brasil/LATAM:** A técnica é onipresente em campanhas de ransomware e espionagem que atingem o Brasil. Em práticamente todo incidente de ransomware investigado em organizações brasileiras, o dump de LSASS aparece como etapa intermediária entre o initial access e o deploy do encryptor. Grupos como [[g0119-indrik-spider|Indrik Spider]] (operadores do ransomware WastedLocker e Macaw) e [[g0061-fin8|FIN8]] utilizam esta técnica sistematicamente ao comprometer redes financeiras e varejistas. A prevalência de domínios Active Directory mal configurados no Brasil - com Wdigest habilitado em servidores legados (Windows Server 2008/2012) para compatibilidade com aplicações antigas - amplifica drasticamente o impacto: o adversário obtém senhas em texto claro, não apenas hashes. Ferramentas como [[s0349-lazagne|LaZagne]] e [[s0357-impacket|Impacket]] são regularmente identificadas em análises forenses de incidentes brasileiros. ## Attack Flow ```mermaid graph TB A([Initial Access<br/>Phishing / VPN Exploit]) --> B([Elevação de Privilégio<br/>Admin / SYSTEM]) B --> C([Dump do LSASS<br/>T1003.001]) C --> D([Extração de Credenciais<br/>NTLM / Kerberos / Plaintext]) D --> E([Movimento Lateral<br/>Pass-the-Hash / Overpass-the-Hash]) E --> F([Comprometimento de Domínio<br/>Domain Admin]) style C fill:#e74c3c,color:#fff ``` ## Como Funciona ### Preparação O adversário precisa de privilégios administrativos locais antes de acessar o LSASS - o que geralmente implica exploração de uma vulnerabilidade de escalada de privilégios local ou uso de credenciais de administrador já obtidas. Uma vez com os privilégios necessários, desabilita ou contorna o PPL (Protected Process Light), que é a proteção do Windows para o processo LSASS. Isso pode ser feito via drivers assinados (ex: Mimikatz utiliza o driver `mimidrv.sys`), ou explorando configurações que nunca habilitaram o PPL (comum em Windows Server legados, predominantes em organizações brasileiras de médio porte). ### Execução Existem múltiplos métodos de dumping, cada um com diferentes níveis de detecção: 1. **ProcDump (Sysinternals):** `procdump.exe -ma lsass.exe lsass.dmp` - gera arquivo `.dmp` para análise offline com Mimikatz (`sekurlsa::minidump lsass.dmp` + `sekurlsa::logonPasswords`). 2. **comsvcs.dll via rundll32:** `rundll32.exe C:\Windows\System32\comsvcs.dll MiniDump <PID> lsass.dmp full` - abusa de DLL legítima do Windows para gerar o dump, reduzindo a assinatura do binário do atacante. 3. **Silent Process Exit / WerFault:** Manipulação do mecanismo de registro de falhas silenciosas do Windows para forçar um dump do LSASS via `WerFault.exe` - processo legítimo que raramente dispara alertas. 4. **Injeção de SSP:** Modificação das chaves de registro `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages` para carregar uma DLL maliciosa no espaço de memória do LSASS no próximo boot, obtendo acesso contínuo a credenciais sem necessidade de dump. ### Pós-execução Com as credenciais extraídas (hashes NTLM, tickets Kerberos TGT, ou senhas em claro), o adversário realiza movimento lateral via Pass-the-Hash, Overpass-the-Hash, ou Pass-the-Ticket ([[t1550-use-alternate-authentication-material|Use Alternaté Authentication Material]]). Tickets Kerberos de contas de serviço privilegiadas (DCSync, replicação de AD) permitem o ataque Golden Ticket - comprometimento persistente do domínio Active Directory inteiro. Ferramentas como [[s0357-impacket|Impacket]] (`secretsdump.py`) automatizam a extração e o reuso de credenciais em escala, permitindo comprometer centenas de sistemas de um único ponto. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Canal | O que indica | |----------|-------|-------------| | 10 | Sysmon | Acesso ao processo `lsass.exe` por outro processo - campo `GrantedAccess` com valores suspeitos (0x1010, 0x1410, 0x143A, 0x1FFFFF) | | 4656 | Security | Solicitação de handle ao processo LSASS com permissões de leitura de memória | | 4663 | Security | Acesso a objeto do processo LSASS (requer auditoria de Object Access habilitada) | | 1 | Sysmon | Execução de `rundll32.exe` com argumento `comsvcs.dll MiniDump` | | 7 | Sysmon | Carregamento de DLL desconhecida no espaço de processo do `lsass.exe` | | 13 | Sysmon | Modificação de chave de registro `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages` - indicador de SSP injection | | 4648 | Security | Logon com credenciais explícitas após dump - pode indicar uso de hash extraído | **Regra Sigma - Acesso suspeito ao processo LSASS:** ```yaml title: Acesso Suspeito ao Processo LSASS - Possível Credential Dumping id: 5a7b9c1d-3e5f-4a6b-c8d0-2e3f4a5b6c7d status: stable description: > Detecta acesso ao processo lsass.exe com permissões de leitura de memória por processos não esperados - indicador de T1003.001 LSASS Memory dumping. author: RunkIntel daté: 2026/03/24 references: - T1003.001 logsource: category: process_access product: windows detection: selection: TargetImage|endswith: '\lsass.exe' GrantedAccess|contains: - '0x1010' - '0x1410' - '0x143a' - '0x1438' - '0x1fffff' - '0x1f3fff' filter_legitimate: SourceImage|contains: - '\MicrosoftEdge' - '\AV' - '\antivirus' - '\csrss.exe' - '\wininit.exe' - '\services.exe' condition: selection and not filter_legitimate falsepositives: - Algumas soluções de EDR e antivírus podem acessar o LSASS legitimamente - Ferramentas de diagnóstico corporativas autorizadas level: high tags: - attack.credential_access - attack.t1003.001 --- title: Dump do LSASS via comsvcs.dll id: 6b8c0d2e-4f6a-5b7c-d9e1-3f4a5b6c7d8e status: stable description: > Detecta uso de comsvcs.dll via rundll32 para gerar dump do processo LSASS - técnica LOLBin utilizada para evadir detecção de ferramentas como Mimikatz. author: RunkIntel daté: 2026/03/24 logsource: category: process_creation product: windows detection: selection: Image|endswith: '\rundll32.exe' CommandLine|contains|all: - 'comsvcs' - 'MiniDump' condition: selection falsepositives: - Processo legítimo de diagnóstico de crash do sistema (extremamente raro) level: critical tags: - attack.credential_access - attack.t1003.001 - attack.defense_evasion ``` ## Mitigação | Controle | Mitigação MITRE | Recomendação para organizações brasileiras | |----------|----------------|-------------------------------------------| | Proteção do processo LSASS (PPL) | [[m1025-privileged-process-integrity\|M1025 - Privileged Process Integrity]] | Habilitar `RunAsPPL` via GPO ou registro: `HKLM\SYSTEM\CurrentControlSet\Control\Lsa → RunAsPPL = 1`. Disponível a partir do Windows 8.1/Server 2012 R2. Impede que processos sem assinatura da Microsoft acessem a memória do LSASS. Prioridade máxima para servidores de autenticação e DCs. | | Desabilitar Wdigest | [[m1028-operating-system-configuration\|M1028 - Operating System Configuration]] | Definir `HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest → UseLogonCredential = 0`. Em Windows 8.1/2012 R2+ já é o padrão, mas sistemas legados (2008/2012) frequentemente têm Wdigest habilitado para compatibilidade de aplicações - elimina senhas em texto claro da memória do LSASS. | | Credential Guard | [[m1043-credential-access-protection\|M1043 - Credential Access Protection]] | Habilitar Windows Defender Credential Guard (requer UEFI + Secure Boot + Hyper-V). Isola credenciais em um VSM (Virtual Secure Mode) inacessível ao kernel do Windows. Elimina a possibilidade de dump de hashes NTLM e tickets Kerberos do LSASS. Disponível no Windows 10 Enterprise e Windows Server 2016+. | | Privilégio mínimo e PAM | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Eliminar contas de administrador local com senhas iguais entre máquinas - implantar LAPS (Local Administrator Password Solution). Isolar contas privilegiadas: administradores de domínio não devem fazer login em estações de trabalho. Implementar Privileged Access Workstation (PAW) para operações de alto privilégio. | | Políticas de senha fortes | [[m1027-password-policies\|M1027 - Password Policies]] | Senhas longas (mínimo 16 caracteres) dificultam o cracking offline de hashes NTLM. Implementar MFA para contas privilegiadas elimina o valor dos hashes mesmo que sejam extraídos. Fine-grained password policies para contas de serviço. | | EDR com proteção de LSASS | [[m1040-behavior-prevention-on-endpoint\|M1040 - Behavior Prevention on Endpoint]] | Configurar regra de ASR (Attack Surface Reduction) do Microsoft Defender: `Block credential stealing from the Windows local security authority subsystem`. EDR como CrowdStrike, SentinelOne e Carbon Black têm módulos específicos de proteção de LSASS com ML comportamental. | | Auditoria de Object Access | Complementar | Habilitar auditoria de Sensitive Privilege Use e Object Access no AD. Configurar Sysmon com regras de `ProcessAccess` para `lsass.exe`. Correlacionar no SIEM: acesso ao LSASS + logon com credenciais explícitas + movimento lateral na mesma sessão. | ## Threat Actors - [[g0119-indrik-spider|Indrik Spider]] - Grupo russo por trás dos ransomwares WastedLocker, Hades e Macaw. Utiliza LSASS dumping sistematicamente durante a fase de reconhecimento interno, antes de comprometer o AD e lançar o ransomware em escala. Atacou organizações de logística e energia com presença no Brasil. - [[g0125-silk-typhoon|HAFNIUM]] - APT chinês responsável pela exploração em massa das vulnerabilidades ProxyLogon do Microsoft Exchange (2021). Após initial access, usou [[s0154-cobalt-strike|Cobalt Strike]] para dump de LSASS e movimento lateral em redes governamentais e de pesquisa. - [[g0049-oilrig|OilRig]] - APT iraniano (APT34) que utiliza [[s0349-lazagne|LaZagne]] e ferramentas customizadas para extração de credenciais do LSASS em campanhas de espionagem contra setor de energia e governo. - [[g0006-apt1|APT1]] - Grupo chinês (Comment Crew/PLA Unit 61398) que utilizou esta técnica extensivamente em campanhas de espionagem industrial. Documentado pelo Mandiant em 2013 como um dos primeiros a sistematizar o uso de Mimikatz em operações APT. - [[g0061-fin8|FIN8]] - Grupo financeiramente motivado com histórico de ataques a varejistas e instituições financeiras. Usa [[s0692-silenttrinity|SILENTTRINITY]] e scripts PowerShell para dump de LSASS sem tocar disco. - [[g0065-leviathan|Leviathan]] - APT chinês (APT40) com foco em maritimidade e defesa. Combina exploits de VPN com dump de LSASS para comprometer redes de organizações de infraestrutura crítica. - [[g0027-threat-group-3390|Threat Group-3390]] - APT chinês (APT27/Emissary Panda) que usa o framework [[s0357-impacket|Impacket]] extensivamente, incluindo `secretsdump.py` para extração remota de credenciais do LSASS via DCSync. - [[g0108-blue-mockingbird|Blue Mockingbird]] - Grupo financeiramente motivado que compromete servidores públicos (IIS, WebLogic) e utiliza Mimikatz para dump de LSASS e propagação lateral via RDP. ## Software Associado - [[s0154-cobalt-strike|Cobalt Strike]] - Framework de C2 com módulo `sekurlsa::logonPasswords` do Mimikatz integrado. A ferramenta mais utilizada por grupos de ransomware e APTs para dump de LSASS. Identificada em práticamente todos os grandes incidentes brasileiros investigados publicamente. - [[mimikatz|Mimikatz]] - Ferramenta open-source de referência para extração de credenciais do LSASS. Seu módulo `sekurlsa` suporta dump em memória e de arquivos `.dmp`. Base para dezenas de variantes e adaptações em campanhas ativas. - [[s0357-impacket|Impacket]] - Suite Python com `secretsdump.py`, que permite extração remota de credenciais via SMB/DCSync sem necessidade de executável no host alvo. Amplamente usada por [[g0027-threat-group-3390|Threat Group-3390]] e afiliados de ransomware. - [[s0349-lazagne|LaZagne]] - Ferramenta open-source que extrai credenciais de múltiplas fontes (navegadores, clientes de e-mail, LSASS). Usada por [[g0049-oilrig|OilRig]] e grupos de crime financeiro contra organizações brasileiras. - [[s0692-silenttrinity|SILENTTRINITY]] - Framework de post-exploitation baseado em IronPython, utilizado pelo [[g0061-fin8|FIN8]]. Implementa dump de LSASS via reflexão .NET sem gravar arquivos em disco. - [[s0681-lizar|Lizar]] - Plugin toolkit do grupo Carbanak/FIN7 com módulo dedicado a extração de credenciais do LSASS para facilitar movimento lateral em redes bancárias. - [[s0368-notpetya|NotPetya]] - Wiper disfarçado de ransomware (atribuído ao [[g0034-sandworm|Sandworm Team]]) que utilizou Mimikatz integrado para extrair credenciais do LSASS e se propagar lateralmente via EternalBlue + credenciais roubadas, causando mais de US$ 10 bilhões em danos globais em 2017. - [[s0192-pupy|Pupy]] - RAT open-source multiplataforma com módulo de dump de LSASS. Utilizado por grupos de espionagem patrocinados por estados, incluindo campanhas contra organizações governamentais latino-americanas. --- *Fonte: [MITRE ATT&CK - T1003.001](https://attack.mitre.org/techniques/T1003/001)* ## Mapa de Defesa ```mermaid graph TB ATK["T1003.001"] ATK --> TDET["📡 Detect"] TDET --> D1["D3-PLA<br/>Process Lineage Analysis"] TDET --> D2["D3-PSMD<br/>Process Self-Modification Detection"] TDET --> D3["D3-PSA<br/>Process Spawn Analysis"] ATK --> TISO["🔒 Isolate"] TISO --> D4["D3-ABPI<br/>Application-based Process Isolation"] TISO --> D5["D3-HBPI<br/>Hardware-based Process Isolation"] TISO --> D6["D3-KBPI<br/>Kernel-based Process Isolation"] TISO --> D7["D3-SCF<br/>System Call Filtering"] TISO --> D8["D3-WSAM<br/>Web Session Access Mediation"] ATK --> TEVI["🚫 Evict"] TEVI --> D9["D3-HR<br/>Host Reboot"] TEVI --> D10["D3-HS<br/>Host Shutdown"] TEVI --> D11["D3-PS<br/>Process Suspension"] TEVI --> D12["D3-PT<br/>Process Termination"] classDef attack fill:#c0392b,color:#fff classDef detect fill:#2980b9,color:#fff classDef harden fill:#27ae60,color:#fff classDef isolate fill:#8e44ad,color:#fff classDef evict fill:#e67e22,color:#fff class ATK attack class TDET detect class TISO isolate class TEVI evict ``` | Tática D3FEND | Técnica | ID | |--------------|---------|-----| | 📡 Detect | Process Lineage Analysis | D3-PLA | | 📡 Detect | Process Self-Modification Detection | D3-PSMD | | 📡 Detect | Process Spawn Analysis | D3-PSA | | 🔒 Isolate | Application-based Process Isolation | D3-ABPI | | 🔒 Isolate | Hardware-based Process Isolation | D3-HBPI | | 🔒 Isolate | Kernel-based Process Isolation | D3-KBPI | | 🔒 Isolate | System Call Filtering | D3-SCF | | 🔒 Isolate | Web Session Access Mediation | D3-WSAM | | 🚫 Evict | Host Reboot | D3-HR | | 🚫 Evict | Host Shutdown | D3-HS | | 🚫 Evict | Process Suspension | D3-PS | | 🚫 Evict | Process Termination | D3-PT | *Fonte: [MITRE D3FEND](https://d3fend.mitre.org/offensive-technique/attack/T1003.001)*