LSASS Prosesi Dump ve Korunma Yöntemi

Cyber Security
LSASS Prosessi Hakkında     Lsass.exe prosesi farklı form yapılarında şifreleri saklayabilir. Bunlar; şifrelenmiş açık metin, Kerberos tickets, LM and NT hashleridir. Burada ki zafiyet local admin ya da system yetkileri gerekmeden lssas.dmp file dosyasını alınabilmesidir. Bir çok araç ya da method bellekten(ram) şifrelerin dump alabilir. Dump file içeresinde politikasız bir domain alanında bulunan kullanıcın bilgisayarında şifreler clear text tutuluyor olabilir, Daha önce yapılmaması beklenen Domain admin ile bilgisayarda oturumun açılmış olmasıyla hashlerin kalması, İçeresinden elde  edilen hashler ile pash the hash saldırısı yapılabilir., Elde edilen hash bilgilerine brute force yapılabilir. Lsass Prosesi Dump İşlemi Uzak masaüstü(rdp) ile bağlantı sağladığımız makine üzerinden LSASS dump işlemini gerçekleştireceğiz. Görevi yöneticisi üzerinden Details, lsass.exe işlemi seçilir, sağ tık ile create dump file işlemi yapılır. [caption id="attachment_839" align="alignnone" width="668"] lssas dump uygulaması[/caption] C:\Users\asim\AppData\Local\Temp\lsass.DMP İşlemin…
Read More