Dump dei Segreti LSA: LSA Secrets (T1003.004)

Per simulare questa tecnica in laboratorio servono privilegi SYSTEM o almeno Administrator con token elevato. Il punto di partenza più diretto è il comando nativo Windows reg save, lo stesso utilizzato da APT29 nelle proprie operazioni:

reg save HKLM\SECURITY C:\temp\security.save reg save HKLM\SYSTEM C:\temp\system.save

L'hive SYSTEM è necessario perché contiene la chiave di boot (SYSKEY) indispensabile per decifrare i segreti LSA offline. Una volta esportati entrambi i file, si trasferiscono sulla macchina dell'attaccante e si processano con secretsdump.py del framework Impacket (open source):

secretsdump.py -security security.save -system system.save LOCAL

Questo comando decodifica i segreti LSA, gli hash delle password locali e i cached domain credentials in un'unica passata, senza necessità di interazione con il sistema target.

Per l'estrazione diretta in memoria, Mimikatz (open source) offre il modulo dedicato:

mimikatz # privilege::debug mimikatz # token::elevate mimikatz # lsadump::secrets

La sequenza eleva i privilegi al contesto SYSTEM e poi enumera i segreti LSA dalla memoria del processo lsass.exe. Un approccio alternativo, particolarmente utile in contesti di post-exploitation remota, è CrackMapExec (open source — ora rinominato NetExec) che automatizza il dump LSA su target multipli:

nxc smb -u -p --lsa

In un engagement red team strutturato, vale la pena concatenare le fasi: si parte dall'accesso iniziale, si scala a SYSTEM, si estraggono i segreti LSA e si utilizzano le credenziali dei service account per muoversi lateralmente verso i domain controller. LaZagne (open source) è un'altra opzione valida che automatizza la raccolta da molteplici sorgenti di credenziali, inclusi i segreti LSA, con un singolo eseguibile:

laZagne.exe all

Per chi lavora con Pupy (open source), il framework integra nativamente il modulo LaZagne, consentendo il credential harvesting direttamente dalla sessione C2 senza drop di file su disco. Infine, gsecdump rappresenta l'opzione legacy — un binario leggero che effettua il dump LSA ma che alcuni EDR rilevano con facilità, rendendolo utile come test di baseline per le capacità di detection del Blue Team.

La detection di questa tecnica si articola su due superfici complementari: l'accesso al registro e l'interazione con il processo lsass.exe. Entrambe richiedono Sysmon configurato correttamente e i log di Security abilitati con policy di auditing granulare.

Il primo indicatore ad alta fedeltà è l'accesso alle chiavi di registro sotto HKLM\SECURITY\Policy\Secrets. Con Sysmon, l'EventCode 13 (Registry Value Set) e l'EventCode 12 (Registry Object Create/Delete) catturano le operazioni su questi percorsi. Tuttavia, il segnale più affidabile è l'EventCode 4656 del Security Log (handle richiesto su oggetto di registro), filtrato sul percorso target e combinato con l'AccessMask 0x2 o 0x4 che indicano operazioni di lettura privilegiate.

Il secondo pilastro è il monitoraggio del processo lsass.exe. L'EventCode 10 di Sysmon (Process Access) rivela quando un processo non autorizzato apre un handle verso lsass con diritti di lettura della memoria. I campi critici per il tuning sono:

• TargetImage: deve corrispondere a lsass.exe
• GrantedAccess: valori come 0x1010 o 0x1FFFFF sono altamente sospetti
• SourceImage: processi legittimi come csrss.exe o WmiPrvSE.exe vanno inseriti in whitelist

Per il tuning dei falsi positivi, è essenziale documentare i processi di sistema che accedono regolarmente a lsass.exe e alle chiavi LSA. Prodotti di backup, agent di monitoraggio e software di gestione password enterprise generano accessi legittimi che, senza whitelist, producono un volume di alert insostenibile. La strategia consigliata è partire in modalità "log only" per due settimane, profilare il comportamento normale e poi attivare l'alerting.

Le DLL caricate da processi utente rappresentano un ulteriore vettore di detection: moduli come lsasrv.dll o sechost.dll caricati da processi non di sistema (visibili tramite EventCode 7 di Sysmon — Image Loaded) meritano investigazione immediata. Un approccio complementare è il monitoraggio command-line: l'esecuzione di reg save con argomento contenente HKLM\SECURITY è un indicatore quasi deterministico, catturabile con EventCode 1 di Sysmon (Process Creation) o EventCode 4688 del Security Log con command-line auditing abilitato.

Come controlli preventivi, la mitigazione Privileged Account Management riduce la superficie d'attacco limitando il numero di account con accesso SYSTEM, mentre Password Policies robuste diminuiscono il valore delle credenziali eventualmente estratte. L'integrazione con una soluzione PAM come CyberArk (a pagamento) o HashiCorp Vault (freemium) aggiunge rotazione automatica delle password dei service account, neutralizzando i segreti LSA estratti nel giro di ore.

L'analisi forense di un dump LSA Secrets lascia tracce distribuite tra registro, filesystem, memoria e log eventi. La ricostruzione della timeline parte dall'identificazione del momento in cui l'attaccante ha raggiunto i privilegi SYSTEM — prerequisito imprescindibile per questa tecnica.

Il primo artefatto da cercare è la presenza di file hive esportati. Il comando reg save produce file con estensione tipica .save, .hiv o .dat in percorsi insoliti. L'analisi del filesystem con strumenti come FTK Imager (gratuito) o Autopsy (open source) deve concentrarsi sulle directory temporanee (C:\temp, C:\Users\Public, %APPDATA%) cercando file di dimensioni compatibili con gli hive SECURITY e SYSTEM — generalmente tra 40 KB e pochi MB per SECURITY, e 10-15 MB per SYSTEM.

La Master File Table ($MFT) e il journal USN ($UsnJrnl) di NTFS sono preziosi per ricostruire la creazione, rinomina ed eventuale cancellazione di questi file. Anche dopo la rimozione, le entry $MFT residue preservano i timestamp MACB (Modified, Accessed, Changed, Birth) che permettono di collocare l'operazione nella timeline con precisione al secondo. Lo strumento MFTECmd di Eric Zimmerman (open source) è particolarmente efficace per il parsing della MFT.

Sul versante memoria, se è disponibile un dump RAM acquisito durante l'incidente, Volatility 3 (open source) consente di analizzare il processo lsass.exe e identificare i moduli caricati al suo interno. Il plugin windows.lsadump estrae i segreti LSA residenti in memoria, mentre windows.handles mostra quali processi avevano handle aperti verso lsass al momento dell'acquisizione.

I log eventi completano il quadro. Gli eventi da correlare nella timeline includono:

• EventCode 4656 e 4663: accesso alle chiavi di registro LSA
• EventCode 4688: creazione processo con command-line contenente reg save o nomi di tool noti
• EventCode 1 di Sysmon: dettaglio completo della command-line e hash del processo
• EventCode 10 di Sysmon: accesso cross-process verso lsass.exe

Per i tool specifici, la ricerca di artefatti varia: Mimikatz lascia tracce nel prefetch (mimikatz.exe-*.pf) e negli ShimCache/AmCache; IceApple accede programmaticamente alle chiavi PolEKList\default, Secrets\*\CurrVal e Secrets\*\OldVal, un pattern che nei log di registry auditing appare come sequenza ravvicinata di accessi a più sottochiavi di Secrets. La correlazione temporale tra questi accessi e connessioni di rete in uscita può rivelare l'esfiltrazione delle credenziali estratte.

Il dump dei segreti LSA è una tecnica trasversale che accomuna gruppi con matrici geopolitiche molto diverse. L'analisi dei 10 gruppi documentati rivela pattern operativi distinti per tooling, obiettivi e catena d'attacco.

APT29 si distingue per un approccio minimalista e living-off-the-land: il ricorso al comando nativo reg save per estrarre i segreti LSA offline dimostra la preferenza per strumenti built-in che minimizzano la footprint su disco. Questo modus operandi è coerente con il profilo di un attore orientato allo spionaggio di lungo periodo, dove la persistenza silenziosa prevale sulla velocità operativa.

Il cluster mediorientale composto da MuddyWater, OilRig e APT33 condivide un elemento significativo: tutti e tre impiegano LaZagne come strumento di credential harvesting. Questa convergenza su un tool open source suggerisce una possibile condivisione di playbook operativi o, quantomeno, un ecosistema di knowledge sharing all'interno della stessa area geopolitica. Leafminer si inserisce nello stesso pattern, utilizzando anch'esso LaZagne per il recupero di credenziali.

Threat Group-3390 e Ke3chang, entrambi attribuiti all'area sinofona, privilegiano gsecdump — un tool più datato ma leggero e specifico. Threat Group-3390 estende l'operatività al dump di credenziali dai domain controller, indicando obiettivi di compromissione dell'intero dominio Active Directory piuttosto che di singoli endpoint.

Dragonfly porta un approccio diretto con il drop ed esecuzione di SecretsDump, componente del framework Impacket, focalizzandosi sull'estrazione massiva di hash in ambienti infrastrutturali critici. Ember Bear condivide la scelta di Impacket come framework di riferimento per il dump LSA, confermando la popolarità di questo toolkit nell'arsenale di attori statali.

menuPass si differenzia per l'uso di versioni modificate di tool di pentesting — in particolare wmiexec.vbs e secretsdump.py customizzati — un indicatore di capacità di sviluppo software interne che complica l'attribuzione basata su signature statiche.

Il trend dominante è chiaro: i tool open source (LaZagne, Impacket, Mimikatz) costituiscono la spina dorsale del credential harvesting per la maggioranza dei gruppi. La differenziazione avviene nella catena d'attacco a monte e a valle — come l'attaccante arriva a SYSTEM e cosa fa con le credenziali estratte. Per il threat intelligence operativo, il monitoraggio delle evoluzioni di questi progetti open source e delle loro fork personalizzate rappresenta un indicatore anticipatore delle capability emergenti.

Framework MITRE ATT&CK v16 — Tecnica T1003.004 (LSA Secrets), Tattica TA0006, Mitigazioni M1027, M1026, M1017. Gruppi: G0069, G0027, G0049, G0077, G0064, G0016, G0045, G0035, G1003, G0004. Software: S1022, S0050, S0008, S0349, S0488, S0677, S0357, S0192, S0002. Detection: DET0437/AN1212. Integrato con conoscenza professionale per tool e procedure operative.