# T1003.004 - LSA Secrets ## Descrição **LSA Secrets** é uma subtécnica de [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] que permite a adversários com acesso `SYSTEM` extrair segredos armazenados pelo processo **Local Security Authority (LSA)** do Windows. Esses segredos incluem credenciais de contas de serviço, senhas de tarefas agendadas, hashes de contas de máquina de domínio, dados de autenticação de VPN e configurações de dial-up - qualquer informação sensível que o sistema operacional precise recuperar automaticamente sem interação humana. Os segredos LSA são persistidos de forma cifrada no registro do Windows em `HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets`, protegidos pela chave mestra derivada do SYSKEY do sistema. Adversários exploram esta técnica principalmente após ganhar acesso privilegiado a um host, utilizando-a como etapa de **movimentação lateral** ou **escalonamento de privilégios** no ambiente comprometido. Esta técnica é amplamente utilizada por grupos de espionagem patrocinados por Estados como [[g0016-apt29|APT29]], [[g0049-oilrig|OilRig]], [[g0064-apt33|APT33]] e [[g0035-dragonfly|Dragonfly]], bem como por grupos de crime organizado que operam na região LATAM. O acesso a segredos LSA frequentemente fornece credenciais de serviço que permitem movimentação lateral silenciosa através de múltiplos sistemas da rede corporativa. > **Técnica pai:** [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] > **Tática MITRE:** [[_credential-access|Credential Access]] --- ## Como Funciona A extração de LSA Secrets pode ocorrer por dois vetores principais: ### 1. Via Registro do Windows (Registry Extraction) O adversário acessa diretamente as chaves de registro que armazenam os segredos cifrados. Para isso, é necessário: 1. **Privileges**: Acesso com token `SYSTEM` ou `SeBackupPrivilege` 2. **Exportar as hives**: `HKLM\SECURITY` e `HKLM\SYSTEM` para arquivos temporários 3. **Descriptografar offline**: Usar ferramentas como [[mimikatz|Mimikatz]], [[s0357-impacket|Impacket]] (`secretsdump.py`) ou [[s0488-crackmapexec|CrackMapExec]] para derivar a chave SYSKEY e descriptografar os segredos O comando `reg save HKLM\SECURITY security.hive` exporta a hive de segurança. A chave de criptografia está embutida na hive `SYSTEM`, tornando necessário exportar ambas para descriptografia offline. ### 2. Via Memória (In-Memory Extraction) O processo `lsass.exe` (Local Security Authority Subsystem Service) mantém em memória uma cópia descriptografada dos segredos para uso operacional do sistema. Ferramentas como [[mimikatz|Mimikatz]] com o módulo `lsadump::secrets` acessam diretamente o espaço de memória do processo LSASS para extrair os segredos em texto claro. ``` mimikatz # privilege::debug mimikatz # lsadump::secrets ``` ### 3. Extração Remota Com ferramentas como [[s0357-impacket|Impacket]] (`secretsdump.py`) ou [[s0488-crackmapexec|CrackMapExec]], um adversário com credenciais administrativas pode extrair remotamente os segredos LSA de um alvo sem necessitar de execução local: ``` secretsdump.py DOMAIN/user:password@target_ip -just-dc-user ``` ### Tipos de Dados Expostos | Tipo de Segredo | Descrição | Impacto | |-----------------|-----------|---------| | `_SC_*` | Credenciais de contas de serviço | Movimentação lateral via serviços | | `DefaultPassword` | Senha de autologon configurada | Acesso direto à conta | | `DPAPI_SYSTEM` | Chave mestra DPAPI do sistema | Descriptografar dados protegidos | | `$MACHINE.ACC` | Hash da conta de máquina do domínio | Pass-the-Hash, kerberoasting | | `NL$KM` | Chave de cache de logon de rede | Descriptografar credenciais em cache | | `RasCredentials` | Credenciais de VPN/dial-up | Acesso a redes privadas | --- ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Exploit / Phishing"] --> B["Escalonamento de Privilégios<br/>T1055 / T1134"] B --> C["Obtenção de Token SYSTEM<br/>SeDebugPrivilege / SeBackupPrivilege"] C --> D{"Vetor de Extração"} D --> E["Via Registro<br/>reg save HKLM\\SECURITY"] D --> F["Via Memória<br/>Dump do processo LSASS"] D --> G["Remoto<br/>Impacket secretsdump"] E --> H["Descriptografia Offline<br/>SYSKEY + AES/3DES"] F --> H G --> H H --> I["Credenciais Extraídas<br/>Contas de serviço, VPN, DPAPI"] I --> J["Movimentação Lateral<br/>T1021 / T1550"] I --> K["Persistência<br/>T1543 - Creaté/Modify System Process"] I --> L["Acesso a Recursos<br/>Sistemas internos, VPN, cloud"] ``` --- ## Exemplos de Uso ### APT29 (Cozy Bear) O grupo russo [[g0016-apt29|APT29]] utilizou LSA Secrets em múltiplas campanhas de espionagem para extrair credenciais de contas de serviço em redes governamentais e de defesa. Em operações documentadas, o grupo combinou a extração de LSA Secrets com [[t1550-use-alternate-authentication-material|Pass-the-Hash]] para movimentação lateral silenciosa através de redes segmentadas. O acesso a credenciais de serviços de backup e monitoramento frequentemente fornecia caminhos não monitorados para sistemas críticos. ### OilRig (APT34) O grupo iraniano [[g0049-oilrig|OilRig]] incorporou extração de LSA Secrets em sua cadeia de ataque contra organizações no Oriente Médio e LATAM, especialmente no setor de energia e governo. O grupo utilizava [[s0357-impacket|Impacket]] para extração remota depois de obter acesso inicial via spearphishing, eliminando a necessidade de executar ferramentas diretamente nos alvos. ### Dragonfly (TEMP.Veles) O grupo [[g0035-dragonfly|Dragonfly]], associado a operações contra infraestrutura crítica de energia, utilizou LSA Secrets para extrair credenciais de contas de serviço de sistemas SCADA e OT. Em ambientes industriais, contas de serviço frequentemente têm senhas estáticas e privilégios elevados em múltiplos sistemas, tornando sua extração especialmente crítica. ### Ember Bear (UAC-0056) O grupo [[g1003-ember-bear|Ember Bear]], ligado a operações contra a Ucrânia, utilizou ferramentas baseadas em [[s0357-impacket|Impacket]] para extração em massa de LSA Secrets em campanha de pré-posicionamento, documentada antes do conflito de 2022. A técnica foi combinada com [[t1486-data-encrypted-for-impact|wipers]] para maximizar o impacto. ### Ferramentas Comuns Observadas - **[[mimikatz|Mimikatz]]** - módulo `lsadump::secrets`, extração in-memory - **[[s0357-impacket|Impacket]]** - `secretsdump.py`, extração remota via protocolo MS-DRSR - **[[s0488-crackmapexec|CrackMapExec]]** - `--lsa` flag, automação em larga escala - **[[s0349-lazagne|LaZagne]]** - coleta de múltiplas fontes de credenciais, incluindo LSA - **[[s0008-gsecdump|gsecdump]]** - ferramenta antiga mas ainda observada em campanhas - **[[s0192-pupy|Pupy]]** - framework RAT com módulo de dump de credenciais - **[[s1022-iceapple|IceApple]]** - módulo post-exploitation para IIS com capacidade de dump --- ## Detecção ### Regra Sigma - Dump de LSA Secrets via Registro ```yaml title: Suspicious LSA Secrets Registry Access status: experimental description: Detecta tentativas de exportar hives de registro contendo LSA Secrets logsource: category: process_creation product: windows detection: selection_reg: CommandLine|contains: - 'HKLM\SECURITY' - 'HKLM\SAM' - 'reg save' - 'reg export' selection_tools: Image|endswith: - '\reg.exe' - '\mimikatz.exe' - '\secretsdump' condition: selection_reg or selection_tools falsepositives: - Backup de sistema legitimamente agendado - Ferramentas de diagnóstico de TI corporativas level: high tags: - attack.credential_access - attack.t1003.004 ``` ### Regra Sigma - Acesso à Memória do LSASS ```yaml title: LSASS Memory Access for LSA Secrets Dumping status: experimental description: Detecta acesso ao processo LSASS para extração de segredos logsource: category: process_access product: windows detection: selection: TargetImage|endswith: '\lsass.exe' GrantedAccess|contains: - '0x1FFFFF' - '0x1010' - '0x1038' - '0x143A' filter_legitimate: SourceImage|contains: - '\MsMpEng.exe' - '\csrss.exe' - '\werfault.exe' condition: selection and not filter_legitimate level: critical tags: - attack.credential_access - attack.t1003.004 ``` ### Indicadores de Comprometimento (Comportamentais) - Processo não-sistema acessando `HKLM\SECURITY\Policy\Secrets` - Criação de arquivos `.hive` ou `.save` em diretórios temporários - Execução de `reg.exe save` com paths contendo `SECURITY` ou `SAM` - Abertura de handle `PROCESS_VM_READ` no processo `lsass.exe` por processos inesperados - Tráfego de rede SMB/MSRPC com opcode `DRSR` (Directory Replication Service Remote Protocol) originando de workstations - Presença de ferramentas conhecidas: `mimikatz.exe`, `secretsdump.py`, `gsecdump.exe` ### Windows Event IDs Relevantes | Event ID | Canal | Descrição | |----------|-------|-----------| | 4656 | Security | Handle request para objeto LSASS | | 4663 | Security | Tentativa de acessar objeto (registry key SECURITY) | | 4688 | Security | Criação de processo suspeito (reg.exe com args) | | 10 | Sysmon | Acesso a processo (LSASS handle) | | 13 | Sysmon | Modificação de valor de registro | --- ## Mitigação | ID | Mitigação | Descrição Detalhada | |----|-----------|---------------------| | [[m1027-password-policies\|M1027]] | Password Policies | Implementar políticas de senha robustas para contas de serviço. Usar senhas longas e aleatórias (>25 caracteres), rotacionadas regularmente. Considerar Group Managed Service Accounts (gMSA) para rotação automática. | | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Limitar o número de contas com acesso SYSTEM. Usar Privileged Access Workstations (PAW) para administração. Implementar Just-in-Time (JIT) access para elevação de privilégios. Auditar regularmente membros de grupos privilegiados. | | [[m1017-user-training\|M1017]] | User Training | Treinar administradores sobre riscos de credenciais armazenadas em contas de serviço. Conscientizar sobre ferramentas de dual-use (Mimikatz, Impacket) e seus indicadores. | ### Controles Adicionais Recomendados - **Windows Credential Guard**: Virtualizar o processo LSA para isolar segredos em ambiente protegido por hypervisor (VBS) - **Proteger LSASS com PPL**: Configurar `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL = 1` para executar LSASS como Protected Process Light - **Minimizar uso de contas de serviço tradicionais**: Migrar para gMSA (Group Managed Service Accounts) ou MSA (Managed Service Accounts) sempre que possível - **Auditoria de acesso ao registro**: Ativar auditoria de Object Access para a chave `HKLM\SECURITY` via GPO - **EDR com proteção LSASS**: Configurar soluções EDR para bloquear acesso não-autorizado ao processo LSASS --- ## Contexto Brasil/LATAM ### Relevância Regional No contexto brasileiro e latino-americano, a extração de LSA Secrets é particularmente relevante nos seguintes cenários: **Setor Financeiro**: Grupos de crime organizado que operam ransomware-as-a-service no Brasil utilizam LSA Secrets como etapa padrão em suas cadeias de ataque. Após comprometer uma workstation via [[t1566-phishing|phishing]], utilizam [[s0357-impacket|Impacket]] para extração remota de credenciais de serviço em servidores de backup e sistemas de core banking, facilitando movimentação lateral antes da criptografia final. **Infraestrutura Crítica**: Campanhas observadas contra distribuidoras de energia e empresas de saneamento no Brasil revelam uso de LSA Secrets para extrair credenciais de contas de serviço em sistemas SCADA e OT, onde políticas de segurança frequentemente são mais permissivas e senhas de serviço raramente são rotacionadas. **Setor de Governo**: Operações de espionagem contra entidades governamentais brasileiras, atribuídas a grupos patrocinados por Estados, incluem LSA Secrets como componente de campanhas mais amplas de credential harvesting. A presença de domínios Active Directory mal configurados e ausência de MFA em sistemas legados amplia a superfície de exposição. ### Grupos com Atuação Documentada na Região - [[g0049-oilrig|OilRig]] - operações contra petróleo e gás, com alvos em empresas com subsidiárias na LATAM - [[g0064-apt33|APT33]] - espionagem industrial com foco em energia e aviação, com vítimas documentadas no Brasil - [[g0069-mango-sandstorm|MuddyWater]] - campanhas de espionagem com potencial extensão para parceiros comerciais de alvos no Oriente Médio com presença no Brasil ### Lacunas de Detecção Observadas - Muitas organizações brasileiras ainda não possuem monitoramento de Event ID 4656/4663 habilitado - Windows Credential Guard e PPL para LSASS raramente estão configurados em ambientes corporativos médios - Ferramentas de administração legítima com capacidade de dump (PsExec + secretsdump) frequentemente não são bloqueadas --- ## Referências - [MITRE ATT&CK - T1003.004: LSA Secrets](https://attack.mitre.org/techniques/T1003/004/) - [Microsoft - LSA Authentication](https://learn.microsoft.com/en-us/windows-server/security/windows-authentication/lsa-authentication) - [Gentilkiwi - Mimikatz lsadump module](https://github.com/gentilkiwi/mimikatz/wiki/module-~-lsadump) - [Impacket - secretsdump.py](https://github.com/fortra/impacket/blob/master/impacket/examples/secretsdump.py) - [Microsoft - Credential Guard Overview](https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/) - [CERT.br - Boas Práticas em Segurança de Active Directory](https://www.cert.br/docs/) ## Software Associado - [[s1022-iceapple|IceApple]] (malware) - [[s0050-cosmicduke|CosmicDuke]] (malware) - [[s0008-gsecdump|gsecdump]] (ferramenta) - [[s0349-lazagne|LaZagne]] (ferramenta) - [[s0488-crackmapexec|CrackMapExec]] (ferramenta) - [[s0677-aadinternals|AADInternals]] (ferramenta) - [[s0357-impacket|Impacket]] (ferramenta) - [[s0192-pupy|Pupy]] (ferramenta) - [[mimikatz|Mimikatz]] (ferramenta) --- *Fonte: [MITRE ATT&CK - T1003.004](https://attack.mitre.org/techniques/T1003/004)*