Dump della Memoria LSASS: OS Credential Dumping – LSASS Memory (T1003.001)

Il dump di LSASS è il primo esercizio che ogni red teamer dovrebbe padroneggiare in laboratorio, perché rivela immediatamente la postura difensiva del target: se Credential Guard è attivo, se LSASS gira come Protected Process Light, se l'EDR intercetta l'accesso alla memoria. Ogni variante di dumping ha una firma diversa, e alternarle permette di testare la copertura detection del blue team.

La via più diretta utilizza ProcDump di Sysinternals (open source), uno strumento legittimo firmato Microsoft che gli EDR spesso lasciano passare:

procdump -ma lsass.exe lsass_dump

Il flag -ma genera un dump completo della memoria del processo. Il file risultante va poi analizzato offline con Mimikatz (open source) sul proprio sistema di attacco:

sekurlsa::Minidump lsass_dump.dmp sekurlsa::logonPasswords

Quando ProcDump non è disponibile o è bloccato, la DLL nativa comsvcs.dll offre un'alternativa living-off-the-land. Serve prima identificare il PID di LSASS — tramite tasklist /fi "imagename eq lsass.exe" — poi eseguire:

rundll32.exe C:\Windows\System32\comsvcs.dll MiniDump <PID> C:\Windows\Temp\lsass.dmp full

Questa tecnica è stata usata in campo da Magic Hound e Sandworm Team, il che la rende un test particolarmente realistico.

Per ambienti dove il file su disco verrebbe intercettato, pypykatz (open source) consente il parsing diretto dalla memoria in Python, senza scrivere il dump su disco. In alternativa, Cobalt Strike (a pagamento) offre il comando hashdump che inietta direttamente nel processo LSASS e restituisce gli hash nella console dell'operatore, senza mai toccare il filesystem.

Un approccio più furtivo sfrutta il meccanismo silent process exit di Windows: configurando tramite registro le chiavi HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\lsass.exe e HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\lsass.exe, si può far sì che WerFault.exe generi un dump di LSASS al momento opportuno. Questo percorso abusa di un meccanismo di diagnostica legittimo ed è molto più difficile da distinguere da un crash reale.

Per testare la tecnica SSP injection, si può aggiungere una DLL personalizzata (come mimilib.dll di Mimikatz) alla chiave di registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages e richiamare l'API AddSecurityPackage per caricarla senza riavvio. Questo simula l'intercettazione persistente di credenziali in transito.

Strumenti aggiuntivi per il laboratorio: Impacket (open source) con il modulo secretsdump.py, Sliver (open source) con il comando built-in procdump, Empire (open source) e PoshC2 (open source) che integrano moduli Mimikatz direttamente nel framework C2.

La detection del dump LSASS si gioca su un punto critico: LSASS è acceduto continuamente da processi legittimi — antivirus, EDR, servizi di autenticazione — quindi la sfida non è vedere l'accesso, ma distinguere quello malevolo dal rumore di fondo.

Il segnale più affidabile arriva da Sysmon (open source, richiede installazione e configurazione) con l'EventCode 10 (ProcessAccess). L'analytic documentata si concentra sull'AccessMask 0x1F0FFF, che rappresenta un accesso con tutti i permessi al processo LSASS — una richiesta che strumenti legittimi raramente necessitano. La regola deve monitorare il campo TargetImage corrispondente a lsass.exe e correlare l'accesso con eventi successivi entro una finestra temporale di circa 5 minuti: creazione di file dump (Sysmon EventCode 11 – FileCreate) in percorsi come %TEMP% o C:\Windows\Temp, oppure modifiche al registro nelle chiavi LSA Security Packages.

Per il tuning dei falsi positivi, è essenziale costruire una allowlist dei ParentProcessName legittimi: i processi dell'EDR aziendale, Windows Defender, eventuali agenti di backup. Questa allowlist va mantenuta attivamente, perché ogni aggiornamento software può introdurre nuovi processi che accedono a LSASS.

Sul fronte command-line, i log del Security Event Log (EventCode 4688 con audit della command line abilitato) permettono di intercettare pattern riconoscibili: invocazioni di rundll32 con comsvcs.dll e MiniDump, esecuzioni di procdump con target lsass, stringhe come sekurlsa o Invoke-Mimikatz. Queste firme sono facilmente aggirabili da un attaccante sofisticato, ma colgono il volume degli attacchi opportunistici e dei ransomware come Qilin o Play.

Le regole ASR (Attack Surface Reduction) di Windows Defender offrono un livello preventivo diretto: la regola specifica per la protezione di LSASS blocca il credential stealing a livello di endpoint prima ancora che il SOC debba intervenire. Va abilitata in modalità block, non solo audit, dopo un periodo di test.

Infine, monitorate le modifiche alle chiavi di registro HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages e OSConfig\Security Packages tramite Sysmon EventCode 13 (RegistryEvent). L'aggiunta di un nuovo SSP è un evento raro in ambienti di produzione e merita un alert ad alta priorità. Correlate questo evento con eventuali chiamate alla funzione AddSecurityPackage tracciate dall'EDR per identificare il caricamento a caldo di DLL malevole senza riavvio del sistema.

L'analisi forense di un dump LSASS richiede di ricostruire due momenti distinti: quando l'attaccante ha ottenuto accesso alla memoria del processo, e cosa ha fatto con le credenziali estratte. La timeline si costruisce incrociando artefatti di filesystem, registro ed eventi di sistema.

Il punto di partenza è il file dump stesso. Cercate file con estensione .dmp o nomi sospetti nelle directory temporanee — C:\Windows\Temp, %USERPROFILE%\AppData\Local\Temp, cartelle condivise. Anche se l'attaccante ha cancellato il file, la MFT ($MFT) del volume NTFS conserva il record con timestamp di creazione, modifica e ultimo accesso. Lo strumento MFTECmd di Eric Zimmerman (open source) permette di parsare la MFT ed estrarre questi dati. Nei casi documentati di FIN13, il dump veniva creato con ProcDump e poi analizzato localmente con Mimikatz, lasciando tracce in entrambe le fasi.

I Prefetch di Windows forniscono un secondo livello di conferma. I file PROCDUMP64.EXE-{hash}.pf e RUNDLL32.EXE-{hash}.pf registrano le ultime otto esecuzioni con timestamp, volumi acceduti e file referenziati. Se nel Prefetch di rundll32 trovate un riferimento a comsvcs.dll insieme a un percorso contenente .dmp, avete una prova solida dell'utilizzo della tecnica living-off-the-land — lo stesso approccio documentato per Magic Hound e Sandworm Team.

L'analisi del registro è cruciale per individuare la persistenza tramite SSP injection. Esaminate le chiavi HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages cercando DLL non standard. Confrontate il contenuto attuale con un'immagine gold del sistema o con i valori di default documentati. I file di log delle transazioni del registro (SYSTEM.LOG1, SYSTEM.LOG2) e gli snapshot RegBack, quando disponibili, consentono di datare la modifica.

Sul fronte degli eventi Windows, l'EventCode 4688 (Process Creation) con command line auditing rivela l'esatto comando eseguito, mentre l'EventCode 10 di Sysmon cattura l'accesso cross-process con il dettaglio dell'AccessMask. Correlare un EventCode 10 con target lsass.exe e AccessMask 0x1F0FFF con un EventCode 11 (FileCreate) nel medesimo intervallo temporale fornisce la sequenza completa accesso-dump.

Per i casi che coinvolgono il meccanismo silent process exit, verificate le chiavi sotto Image File Execution Options\lsass.exe e SilentProcessExit\lsass.exe — la loro sola presenza è anomala. I dump generati da WerFault.exe finiscono tipicamente nella directory %ProgramData%\Microsoft\Windows\WER, un percorso che spesso sfugge ai controlli di primo livello.

Completate la timeline correlandola con gli eventi di logon (EventCode 4624) successivi: un improvviso aumento di logon di tipo 3 (network) o tipo 9 (new credentials) con account diversi, provenienti dallo stesso host, suggerisce l'uso delle credenziali appena estratte per il movimento laterale.

Con 42 gruppi che adottano questa tecnica, il dump LSASS è meno un indicatore di attribuzione e più un passaggio obbligato della kill chain post-exploitation. Tuttavia, il come viene eseguito rivela molto sull'operatore.

APT28 combina strumenti pubblici come Mimikatz con tool custom per il retrieval delle password, utilizzando anche la funzione MiniDump direttamente via API. Questo approccio duale — tool pubblico per velocità, tool custom per evasione — è tipico degli attori russi ad alto budget che operano su target governativi e militari. Sandworm Team, anch'esso russo, preferisce un toolkit diverso: il tool proprietario plainpwd, versioni modificate di Mimikatz e l'abuso di comsvcs.dll. La campagna 2016 Ukraine Electric Power Attack (C0025) documenta l'uso di Mimikatz per catturare credenziali poi impiegate nel movimento laterale verso i sistemi SCADA, dimostrando come il credential dumping sia il ponte tra IT e OT negli attacchi a infrastrutture critiche.

Il cluster iraniano offre un pattern geografico distinto. Magic Hound si distingue per la varietà di metodi — Task Manager, comsvcs.dll, Mimikatz su Domain Controller — suggerendo operatori con buona conoscenza delle alternative quando un metodo viene bloccato. Fox Kitten e APT39 usano rispettivamente ProcDump e una combinazione di Mimikatz, Windows Credential Editor e ProcDump. La campagna HomeLand Justice (C0038) contro il governo albanese mostra l'Iran disposto a combinare credential dumping con operazioni distruttive (ransomware e wiper), un modello che sfuma la linea tra spionaggio e sabotaggio.

Gli attori cinesi presentano il volume più alto: Volt Typhoon, APT5, Threat Group-3390, APT41, Mustang Panda, Earth Lusca, APT1, APT32, Ke3chang, APT3, APT33, GALLIUM, Aquatic Panda, Leviathan e HAFNIUM utilizzano tutti questa tecnica. Particolarmente rilevante è Threat Group-3390, che appare sia nella campagna SharePoint ToolShell Exploitation (C0058) del luglio 2025 sia storicamente con Wrapikatz, una versione custom di Mimikatz. APT5 si distingue per l'uso di Task Manager come metodo di dump — meno sofisticato ma completamente living-off-the-land — e per il transito di Mimikatz attraverso drive RDP mappati, un vettore di delivery spesso trascurato nelle detection.

Sul fronte cybercriminale, Wizard Spider preferisce LaZagne a Mimikatz, FIN6 e FIN8 si affidano rispettivamente a Windows Credential Editor e Invoke-Mimikatz, mentre Play combina Mimikatz con Task Manager. Il malware Qilin integra un modulo Mimikatz direttamente nell'eseguibile ransomware, automatizzando il credential harvesting prima della cifratura.

La campagna Operation Wocao (C0014), attribuita ad attori presumibilmente legati ad APT20, e Cutting Edge (C0029) con lo sfruttamento di zero-day Ivanti illustrano un trend ricorrente: il dump LSASS avviene subito dopo l'initial access, spesso nelle prime ore, come primo passo per consolidare la presenza nella rete.

Framework MITRE ATT&CK v16 — T1003.001 (LSASS Memory), TA0006 (Credential Access). Campagne: C0014 (Operation Wocao), C0025 (2016 Ukraine Electric Power Attack), C0029 (Cutting Edge), C0030 (Triton Safety Instrumented System Attack), C0032, C0038 (HomeLand Justice), C0058 (SharePoint ToolShell Exploitation). Detection: Sysmon, Windows Security Event Log. Integrato con conoscenza professionale per tool e procedure operative.