LSASS

El servicio Local Security Authority Subsystem Service (LSASS) en sistemas operativos Windows es crucial para la administración de la política de seguridad y maneja la autenticación de usuarios en el sistema local. Para un pentester, el entendimiento profundo de LSASS y cómo interactúa con los componentes de seguridad de Windows es fundamental para la evaluación de la postura de seguridad de un sistema y la ejecución de ciertas formas de ataques. Aquí hay varios aspectos de LSASS que son de especial interés:

Función y Rol de LSASS

Autenticación: LSASS es responsable de la autenticación de usuarios para las sesiones de inicio de sesión en una computadora.
Creación de Tokens: Cuando se autentica a un usuario, LSASS genera un "token de acceso" que contiene los derechos y privilegios del usuario.
Almacenamiento de Credenciales: En el proceso de LSASS, las credenciales, como hashes de contraseñas y tickets Kerberos, son almacenados en la memoria.

Ataques y Tácticas Asociadas con LSASS

Dumping de Credenciales: Las herramientas de extracción de credenciales como Mimikatz explotan el acceso a LSASS para obtener hashes de contraseñas y tickets de autenticación.
Pass-the-Hash / Pass-the-Ticket: Las credenciales extraídas pueden ser usadas para realizar estos ataques, permitiendo a los atacantes autenticarse como otro usuario sin conocer la contraseña en texto claro.
Inyección de Código: Los atacantes pueden intentar inyectar código malicioso en el proceso LSASS para interceptar credenciales o elevar privilegios.

Técnicas de Protección y Evasión

Protección de Memoria: Los pentesters deben estar al tanto de las características como Credential Guard que protegen la memoria de LSASS.
Detección de Anomalías: La manipulación de LSASS puede disparar alertas en soluciones de detección de intrusiones y en los sistemas de protección contra malware.
Técnicas de Evasión: Para evitar la detección, los pentesters pueden necesitar usar técnicas de evasión o desarrollar nuevas herramientas que no estén firmadas por firmas de AV.

AnteriorQué es Mimikatz SiguienteExtraccion de credenciales con Mimikatz con binario

Última actualización hace 8 meses

Función y Rol de LSASS

Autenticación: LSASS es responsable de la autenticación de usuarios para las sesiones de inicio de sesión en una computadora.

Creación de Tokens: Cuando se autentica a un usuario, LSASS genera un "token de acceso" que contiene los derechos y privilegios del usuario.

Almacenamiento de Credenciales: En el proceso de LSASS, las credenciales, como hashes de contraseñas y tickets Kerberos, son almacenados en la memoria.

Ataques y Tácticas Asociadas con LSASS

Dumping de Credenciales: Las herramientas de extracción de credenciales como Mimikatz explotan el acceso a LSASS para obtener hashes de contraseñas y tickets de autenticación.

Pass-the-Hash / Pass-the-Ticket: Las credenciales extraídas pueden ser usadas para realizar estos ataques, permitiendo a los atacantes autenticarse como otro usuario sin conocer la contraseña en texto claro.

Inyección de Código: Los atacantes pueden intentar inyectar código malicioso en el proceso LSASS para interceptar credenciales o elevar privilegios.

Técnicas de Protección y Evasión

Protección de Memoria: Los pentesters deben estar al tanto de las características como Credential Guard que protegen la memoria de LSASS.

Detección de Anomalías: La manipulación de LSASS puede disparar alertas en soluciones de detección de intrusiones y en los sistemas de protección contra malware.

Técnicas de Evasión: Para evitar la detección, los pentesters pueden necesitar usar técnicas de evasión o desarrollar nuevas herramientas que no estén firmadas por firmas de AV.