Dump del SAM: Security Account Manager (T1003.002)

La simulazione del SAM dumping in laboratorio è un esercizio fondamentale per validare i controlli di detection. L'intero flusso si articola in due fasi: acquisizione degli hive di registro e successivo cracking offline degli hash.

Metodo 1 — reg save (Living off the Land)

Da un prompt con privilegi SYSTEM o Administrator elevato, i comandi sono i più semplici immaginabili:

reg save HKLM\SAM C:\temp\sam.save reg save HKLM\SYSTEM C:\temp\system.save reg save HKLM\SECURITY C:\temp\security.save

Questi tre file sono tutto ciò che serve. Il file SYSTEM contiene la chiave di boot necessaria per decifrare gli hash conservati nel SAM. Senza entrambi, gli hash restano illeggibili. È esattamente il pattern usato da APT29, FIN13, APT41, Ember Bear e nella campagna APT28 Nearest Neighbor Campaign (C0051).

Metodo 2 — Volume Shadow Copy

Un approccio alternativo, utile quando il registro è bloccato da handle esclusivi, sfrutta le shadow copy:

vssadmin create shadow /for=C:

Dall'ombra creata si copiano i file direttamente dal percorso *\Windows\System32\config*. APT41 ha documentato l'uso di questa tecnica durante la campagna C0017.

Metodo 3 — Impacket secretsdump.py (remoto)

Impacket (open source) consente il dump remoto senza toccare disco sulla vittima. Lo script secretsdump.py opera tramite il protocollo DCE/RPC:

secretsdump.py /:@<ip_target>

Questo metodo è stato impiegato da Dragonfly e da menuPass con versioni personalizzate dello script.

Metodo 4 — Mimikatz

Mimikatz (open source) offre il modulo dedicato:

mimikatz # lsadump::sam /system:system.save /sam:sam.save

Oppure, direttamente in memoria su un sistema compromesso con privilegi SYSTEM:

mimikatz # lsadump::sam

Metodo 5 — CrackMapExec

CrackMapExec (open source, ora rinominato NetExec) automatizza il dump remoto su intere subnet:

nxc smb <ip_target> -u -p --sam

Per il cracking offline degli hash estratti, hashcat (open source) con la modalità NTLM è lo standard:

hashcat -m 1000 hash_sam.txt

In un assessment reale, l'ethical hacker dovrebbe eseguire tutti i metodi in sequenza per verificare che ciascuno generi alert distinti nel SIEM del cliente. Se anche uno solo passa inosservato, il gap va documentato nel report.

La detection del SAM dumping si gioca sulla capacità di distinguere il comportamento legittimo di backup o manutenzione dall'estrazione malevola. I segnali ci sono, ma serve una strategia di correlazione ben progettata.

Log source primari

Le due fonti imprescindibili sono Windows Security Event Log e Sysmon. Il detection DET0085 raccomanda il monitoraggio di entrambe, e per buone ragioni: ciascuna cattura angolazioni diverse dello stesso evento.

Su Sysmon, l'EventCode 1 (Process Creation) è il punto di partenza. Un alert robusto filtra le command line che contengono la stringa reg save combinata con i riferimenti a HKLM\SAM o HKLM\SYSTEM. La detection note AN0235 suggerisce di includere anche le varianti PowerShell — ad esempio l'uso di Copy-Item verso i percorsi del registro o invocazioni di [Microsoft.Win32.Registry].

L'EventCode 11 (File Creation) di Sysmon completa il quadro: intercetta la creazione dei file di dump. I pattern da monitorare includono estensioni come .save, .hiv, .dmp in directory sospette (%TEMP%, *C:\Users\Public*, cartelle temporanee di profili utente).

Per il livello registry, l'EventCode 4656 del Security Log (handle request su oggetti registro) con accesso a HKLM\SAM\SAM\Domains\Account rivela i tentativi di lettura diretta — il comportamento di tool come IceApple, che legge specifiche chiavi come HKLM\SAM\SAM\Domains\Account\Users*\V.

Regola di correlazione consigliata

Il valore aggiunto sta nella correlazione temporale: se sullo stesso host, entro una finestra di 3 minuti, si osservano accessi a HKLM\SAM e HKLM\SYSTEM da parte dello stesso processo padre, la probabilità di un dump attivo è molto alta. Questo parametro di tuning è esplicitamente indicato nella detection AN0235.

Gestione dei falsi positivi

I falsi positivi principali derivano da software di backup (Veeam, Acronis), agenti di inventario e script di hardening che leggono il registro. Il campo ParentProcessName è la chiave per le esclusioni: crea una whitelist dei processi padre legittimi e rivedi la lista trimestralmente. Attenzione però ai tool offensivi che si iniettano in processi legittimi — se il parent è svchost.exe ma la command line è anomala, l'alert deve scattare comunque.

Per chi utilizza Sigma (open source), esistono regole pronte per reg save verso hive SAM che possono essere convertite nel formato del proprio SIEM tramite il tool sigma-cli (open source). Come controllo preventivo, la mitigazione M1028 suggerisce di considerare la disabilitazione o la restrizione di NTLM a livello di sistema operativo, riducendo l'utilità stessa degli hash estratti.

L'analisi forense di un SAM dumping segue una catena di artefatti ben definita. L'obiettivo è ricostruire esattamente quando, come e con quali credenziali l'avversario ha operato, poi tracciare cosa ha fatto dopo con gli hash ottenuti.

Artefatti di esecuzione del comando

Il primo elemento da cercare è la traccia del processo reg.exe. Su sistemi con Sysmon attivo, l'EventCode 1 registra la command line completa — e campagne come Operation CuckooBees (C0012) documentano comandi specifici come reg save HKLM\SYSTEM system.hiv e reg save HKLM\SAM sam.hiv. Senza Sysmon, il fallback è l'EventCode 4688 del Security Log, a patto che la policy di audit Process Creation con Command Line Logging sia abilitata.

Il prefetch di Windows offre un'ancora temporale indipendente dai log. Il file REG.EXE-.pf nella directory C:\Windows\Prefetch conferma l'esecuzione e i timestamp dell'ultimo utilizzo e delle ultime otto esecuzioni (su Windows 10/11). Analizzalo con PECmd di Eric Zimmerman (open source) per estrarre i file referenziati, che includeranno i percorsi di output dei file di dump.

Artefatti su disco

I file estratti — tipicamente sam.save, system.save, sam.hiv o varianti — lasciano tracce nel filesystem anche dopo la cancellazione. La $MFT (Master File Table) conserva i record dei file creati, e tool come MFTECmd (open source) permettono di ricostruire timestamp di creazione, modifica e cancellazione. Se l'attaccante ha usato la directory %TEMP% o C:\Users\Public, le ShellBag e il $UsnJrnl (USN Journal) confermano la navigazione e le operazioni su file.

Nella campagna C0017, APT41 ha copiato SAM e SYSTEM per poi esfiltrarli: il journal USN cattura sia la creazione che la successiva cancellazione, permettendo di stimare il tempo di permanenza del file su disco.

Artefatti di autenticazione post-dump

Una volta che gli hash sono stati estratti, l'attaccante li usa per movimenti laterali via pass-the-hash. L'EventCode 4624 con Logon Type 3 (network) e l'EventCode 4776 (NTLM authentication) diventano i segnali da correlare. Se si osservano autenticazioni NTLM da host dove non dovrebbero verificarsi, usando l'account Administrator locale (RID 500), è un forte indicatore che il dump ha avuto successo.

Timeline di ricostruzione

La sequenza forense tipica è: (1) privilege escalation a SYSTEM, (2) esecuzione reg save o tool equivalente, (3) creazione file di dump su disco, (4) esfiltrazione o utilizzo locale per cracking, (5) autenticazione laterale con hash ottenuti. Strumenti come KAPE (freemium) per la collection e Timeline Explorer (open source) di Eric Zimmerman per la visualizzazione permettono di unificare prefetch, MFT, USN Journal e log di evento in un'unica timeline ordinata cronologicamente.

Per i casi in cui il dump è avvenuto tramite Volume Shadow Copy, verifica la presenza di shadow create ad-hoc con vssadmin list shadows e correla il timestamp di creazione della shadow con l'attività sospetta.

Il SAM dumping è una tecnica talmente trasversale da comparire nel toolkit di gruppi con obiettivi, geografie e livelli di sofisticazione molto diversi. Proprio questa trasversalità offre però pattern analitici utili.

APT41 è il gruppo più documentato su questa tecnica, con due campagne distinte — C0017 (compromissione di reti governative statali USA, 2021-2022) e Operation CuckooBees (C0012, spionaggio industriale in Asia orientale ed Europa, 2019-2022). In entrambi i casi il SAM dumping era un passaggio intermedio per ottenere credenziali valide per il movimento laterale. La doppia presenza conferma che per APT41 l'estrazione del SAM è una procedura operativa standard, non un'azione opportunistica.

APT29 e la campagna APT28 Nearest Neighbor Campaign (C0051) mostrano come due dei più noti attori russi condividano lo stesso approccio living off the land: entrambi usano reg save nativo, evitando tool di terze parti. Nella campagna C0051, condotta tra febbraio 2022 e novembre 2024 contro organizzazioni con expertise sull'Ucraina, APT28 ha sfruttato reti Wi-Fi di organizzazioni limitrofe al vero target per ottenere l'accesso iniziale, per poi raccogliere le credenziali dal SAM con i comandi reg standard.

Il pattern geografico rivela due cluster principali. Il cluster asiatico include APT41, APT5, Ke3chang, menuPass, Threat Group-3390 e Daggerfly — tutti associati ad attori cinesi — con GALLIUM che ne condivide le TTP. Il cluster dell'Europa orientale comprende APT29, Ember Bear e le attività documentate nella campagna C0051. FIN13, motivato finanziariamente, e Wizard Spider rappresentano la componente cybercrime.

Dragonfly e la campagna Night Dragon (C0002, 2009-2011) evidenziano un focus specifico sul settore energetico. In Night Dragon, attori basati in Cina hanno usato gsecdump per estrarre hash dai sistemi di compagnie petrolifere, accedendo successivamente a dati SCADA. Il FrostyGoop Incident (C0041, gennaio 2024) ripropone lo stesso schema settoriale: l'avversario ha estratto il SAM da un'azienda di teleriscaldamento ucraina prima di manipolare sistemi di controllo ENCO via Modbus.

Agrius, attivo in Medio Oriente, completa il quadro geografico aggiungendo un attore presumibilmente iraniano alla lista.

Il tool overlap è significativo: gsecdump è condiviso tra Ke3chang e Threat Group-3390; secretsdump.py lega Dragonfly e menuPass; Mimikatz e Cobalt Strike compaiono nella maggior parte degli arsenali. Questo rende l'attribuzione basata sul solo tool inefficace — è la combinazione di TTP, infrastruttura e targeting che discrimina i gruppi.

Per il prossimo ciclo di intelligence, il trend da monitorare è la convergenza tra SAM dumping e attacchi a infrastrutture critiche (OT/ICS), evidenziato sia da Night Dragon che dal FrostyGoop Incident. L'estrazione di credenziali locali è spesso il ponte tra la rete IT e i segmenti operativi meno segmentati.

Framework MITRE ATT&CK v16 — T1003.002 (Security Account Manager), TA0006. Campagne: C0041 (FrostyGoop Incident), C0017, C0002 (Night Dragon), C0051 (APT28 Nearest Neighbor Campaign), C0012 (Operation CuckooBees). Detection: DET0085 / AN0235. Tool di detection: Sysmon, Sigma, PECmd, MFTECmd, KAPE, Timeline Explorer. Integrato con conoscenza professionale per tool e procedure operative.