{"id":336306,"date":"2022-07-28T15:00:48","date_gmt":"2022-07-28T15:00:48","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=336306"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=336306","title":{"rendered":"<span>\u0414\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0434\u0430\u043c\u043f\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 LSASS. SOC \u043d\u0430\u043d\u043e\u0441\u0438\u0442 \u043e\u0442\u0432\u0435\u0442\u043d\u044b\u0439 \u0443\u0434\u0430\u0440<\/span>"},"content":{"rendered":"<div><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w780q1\/getpro\/habr\/upload_files\/1a3\/114\/5ae\/1a31145ae6ef84580cd2cf3f3d85ceeb.jpg\" width=\"1500\" height=\"1137\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/1a3\/114\/5ae\/1a31145ae6ef84580cd2cf3f3d85ceeb.jpg\" data-blurred=\"true\"\/><figcaption><\/figcaption><\/figure>\n<p>\u041f\u0440\u0438\u0432\u0435\u0442, \u044f <a href=\"\/users\/gamoverr\">@Gamoverr<\/a>, \u0440\u0430\u0431\u043e\u0442\u0430\u044e \u0430\u043d\u0430\u043b\u0438\u0442\u0438\u043a\u043e\u043c \u0443\u0433\u0440\u043e\u0437 \u0432 Angara Security. \u0410 \u0442\u0435\u043f\u0435\u0440\u044c \u043a \u0434\u0435\u043b\u0443!<\/p>\n<p>Angara SOC \u0441\u043f\u0435\u0448\u0438\u0442 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u044c <a href=\"https:\/\/habr.com\/ru\/company\/angarasecurity\/blog\/661341\/\">\u0441\u0442\u0430\u0442\u044c\u044e \u043d\u0430\u0448\u0438\u0445 \u043a\u043e\u043b\u043b\u0435\u0433 \u0438\u0437 RedTeam<\/a> \u043f\u043e \u0440\u0430\u0437\u0431\u043e\u0440\u0443 \u043c\u0435\u0442\u043e\u0434\u0438\u043a \u0434\u0430\u043c\u043f\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 LSASS. \u041c\u044b \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u044d\u0442\u0443 \u0442\u0435\u043c\u0443 \u0441\u043e \u0441\u0442\u043e\u0440\u043e\u043d\u044b \u0437\u0430\u0449\u0438\u0442\u044b \u0438 \u043c\u0435\u0442\u043e\u0434\u0438\u043a \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0434\u0430\u043d\u043d\u043e\u0439 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438. \u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043a\u0430\u043a\u0438\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0432\u044b\u044f\u0432\u043b\u044f\u0442\u044c \u043d\u0435\u0436\u0435\u043b\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0443\u0447\u0435\u0442\u043d\u044b\u043c \u0434\u0430\u043d\u043d\u044b\u043c, \u0438 \u043a\u0430\u043a \u044d\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0434\u043b\u044f \u043e\u043f\u0435\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0433\u043e \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f.<\/p>\n<p>\u041d\u0435\u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u043b\u0438\u043a\u0431\u0435\u0437<\/p>\n<p>\u0417\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u043c\u043e\u0433\u0443\u0442 \u0430\u0431\u0443\u0437\u0438\u0442\u044c \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u0438\u00a0<a href=\"https:\/\/attack.mitre.org\/techniques\/T1003\/001\/\"><strong>Local Security Authority Subsystem Service<\/strong><\/a>\u00a0(LSASS), \u0441\u0434\u0430\u043c\u043f\u0438\u0432 \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0434\u043b\u044f \u043f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u044f \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439, \u043a\u0440\u0430\u0436\u0438 \u0434\u0430\u043d\u043d\u044b\u0445 \u0438\u043b\u0438 \u0433\u043e\u0440\u0438\u0437\u043e\u043d\u0442\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u044f \u043f\u043e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435. \u0412\u0441\u0435 \u0437\u0430\u0432\u0438\u0441\u0438\u0442 \u043e\u0442 \u0442\u043e\u0433\u043e, \u0447\u044c\u044e \u0443\u0447\u0435\u0442\u043d\u0443\u044e \u0437\u0430\u043f\u0438\u0441\u044c \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u0443\u043a\u0440\u0430\u0441\u0442\u044c: \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 \u0434\u043e\u043c\u0435\u043d\u0430, \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 \u0431\u0438\u0437\u043d\u0435\u0441-\u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0438\u043b\u0438 \u043e\u0431\u044b\u0447\u043d\u043e\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f.<\/p>\n<p>\u041f\u0440\u043e\u0446\u0435\u0441\u0441 LSASS \u0432\u0441\u0435\u0433\u0434\u0430 \u0442\u0430\u043a \u0441\u043b\u0430\u0434\u043e\u043a \u0434\u043b\u044f \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u0432 \u0438 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043e\u0434\u043d\u043e\u0439 \u0438\u0437 \u0438\u0445 \u043f\u0435\u0440\u0432\u044b\u0445 \u0446\u0435\u043b\u0435\u0439 \u0438\u0437-\u0437\u0430 \u043e\u0433\u0440\u043e\u043c\u043d\u043e\u0433\u043e \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0430 \u043a\u043e\u043d\u0444\u0438\u0434\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438, \u043a\u043e\u0442\u043e\u0440\u0443\u044e \u043e\u043d \u0445\u0440\u0430\u043d\u0438\u0442 \u0432 \u043f\u0430\u043c\u044f\u0442\u0438.<\/p>\n<p>\u0410 \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0432 \u043d\u0435\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0435:<\/p>\n<ul>\n<li>\n<p>\u0417\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u043f\u0430\u0440\u043e\u043b\u0438,<\/p>\n<\/li>\n<li>\n<p>NT-\u0445\u044d\u0448\u0438,<\/p>\n<\/li>\n<li>\n<p>LM-\u0445\u044d\u0448\u0438,<\/p>\n<\/li>\n<li>\n<p>\u0411\u0438\u043b\u0435\u0442\u044b Kerberos      <\/p>\n<\/li>\n<\/ul>\n<p>\u0414\u043e\u0441\u0442\u0443\u043f \u043a \u0434\u0430\u043d\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c, \u043e\u0431\u043b\u0430\u0434\u0430\u044f \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u044f\u043c\u0438 <strong>SEDebugPrivilege<\/strong>, \u043e\u0431\u044b\u0447\u043d\u043e \u0438\u043c\u0435\u044e\u0449\u0438\u043c\u0438\u0441\u044f \u0443 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430. \u042d\u0442\u043e \u0443\u0436\u0435 \u0443\u0441\u043b\u043e\u0436\u043d\u044f\u0435\u0442 \u0437\u0430\u0434\u0430\u0447\u0443 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u043c\u0443.<\/p>\n<p>\u0414\u043b\u044f \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u043a \u043f\u0430\u043c\u044f\u0442\u0438 LSASS, \u043a\u0430\u043a \u043c\u044b \u0440\u0430\u043d\u0435\u0435 \u0441 \u0432\u0430\u043c\u0438 \u0443\u0437\u043d\u0430\u043b\u0438, \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442\u00a0\u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e-\u0442\u0430\u043a\u0438 \u0431\u043e\u043b\u044c\u0448\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432, \u043d\u043e, \u043d\u0435\u0441\u043c\u043e\u0442\u0440\u044f \u043d\u0430 \u044d\u0442\u043e, \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u0434\u0435\u043b\u0438\u0442\u044c \u0434\u0432\u0435 \u0431\u043e\u043b\u044c\u0448\u0438\u0435 \u043f\u043e\u0434\u0433\u0440\u0443\u043f\u043f\u044b:<\/p>\n<ul>\n<li>\n<p>\u0412\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b (\u0443\u0436\u0435 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0435 \u0432 \u041e\u0421 Windows, \u044d\u0442\u043e \u043c\u043e\u0433\u0443\u0442 \u0431\u044b\u0442\u044c \u0432\u043f\u043e\u043b\u043d\u0435 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b \u0438 \u0442\u0443\u043b\u0437\u044b);<\/p>\n<\/li>\n<li>\n<p>\u041a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u0432.<\/p>\n<\/li>\n<\/ul>\n<p>\u0411\u0435\u0433\u043b\u043e \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043f\u0440\u0438\u043c\u0435\u0440\u044b \u0442\u0430\u043a\u0438\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0438\u0437 \u043e\u0431\u0435\u0438\u0445 \u043f\u043e\u0434\u0433\u0440\u0443\u043f\u043f \u0431\u0435\u0437 \u0434\u0435\u0442\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0440\u0430\u0437\u0431\u043e\u0440\u0430 \u0430\u0442\u0430\u043a\u0438 \u0441 \u0438\u0445 \u043f\u043e\u043c\u043e\u0449\u044c\u044e.<\/p>\n<figure class=\"\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/a9a\/17d\/193\/a9a17d1939d8620999574aa3ed92d5e0.png\" width=\"315\" height=\"391\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/a9a\/17d\/193\/a9a17d1939d8620999574aa3ed92d5e0.png\"\/><figcaption><\/figcaption><\/figure>\n<p><strong>The Windows Task Manager<\/strong> (taskmgr.exe) \u2014\u00a0\u0434\u0438\u0441\u043f\u0435\u0442\u0447\u0435\u0440 \u0437\u0430\u0434\u0430\u0447 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0438\u0442\u044c \u0434\u0430\u043c\u043f \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430, \u0435\u0441\u043b\u0438 \u043e\u043d \u0437\u0430\u043f\u0443\u0449\u0435\u043d \u0432 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c \u0440\u0435\u0436\u0438\u043c\u0435. \u0414\u0435\u0439\u0441\u0442\u0432\u0438\u0435 \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u043f\u0440\u043e\u0441\u0442\u043e\u043c \u0449\u0435\u043b\u0447\u043a\u0435 \u043f\u0440\u0430\u0432\u043e\u0439 \u043a\u043d\u043e\u043f\u043a\u043e\u0439 \u043c\u044b\u0448\u0438 \u043f\u043e \u043d\u0443\u0436\u043d\u043e\u043c\u0443 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0443 \u0438 \u0432\u044b\u0431\u043e\u0440\u0443 \u043f\u0443\u043d\u043a\u0442\u0430 \u043c\u0435\u043d\u044e \u00ab\u0421\u043e\u0437\u0434\u0430\u0442\u044c \u0444\u0430\u0439\u043b \u0434\u0430\u043c\u043f\u0430\u00bb.<\/p>\n<figure class=\"\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/be6\/a2e\/db1\/be6a2edb12d41ad231eef639e396e375.png\" width=\"349\" height=\"317\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/be6\/a2e\/db1\/be6a2edb12d41ad231eef639e396e375.png\"\/><figcaption><\/figcaption><\/figure>\n<p><strong>Windows DLL Host<\/strong> (rundll32.exe) \u2014 rundll \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u0443\u044e \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0443 Windows\u00a0comsvcs.dll, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0438\u0440\u0443\u0435\u0442 \u0444\u0443\u043d\u043a\u0446\u0438\u044e, \u043d\u0430\u0437\u044b\u0432\u0430\u0435\u043c\u0443\u044e\u00a0MiniDump. \u041f\u0440\u0438 \u0432\u044b\u0437\u043e\u0432\u0435 \u0434\u0430\u043d\u043d\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438, \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u043c\u043e\u0436\u0435\u0442 \u043f\u043e\u0434\u0430\u0442\u044c \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430 PID \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 LSASS \u0438 \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u0435\u0433\u043e \u0434\u0430\u043c\u043f \u043f\u0430\u043c\u044f\u0442\u0438. <\/p>\n<p>\u041f\u0440\u0435\u0441\u0442\u0443\u043f\u043d\u0438\u043a\u0438 \u0447\u0430\u0441\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u0441\u0442\u043e\u0440\u043e\u043d\u043d\u0438\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u0434\u0432\u043e\u0439\u043d\u043e\u0433\u043e \u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430 \u043e\u0442 Sysinternals: <strong>Procdump, Process Explorer<\/strong>.<\/p>\n<p>\u041a \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u043c, \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430\u043c\u0438, \u043c\u043e\u0436\u043d\u043e \u043e\u0442\u043d\u0435\u0441\u0442\u0438:<\/p>\n<ul>\n<li>\n<p>Mimikatz<\/p>\n<\/li>\n<li>\n<p>Cobalt Strike<\/p>\n<\/li>\n<li>\n<p>Impacket<\/p>\n<\/li>\n<li>\n<p>Metasploit<\/p>\n<\/li>\n<li>\n<p>PowerSploit<\/p>\n<\/li>\n<li>\n<p>Empire<\/p>\n<\/li>\n<li>\n<p>Pwdump<\/p>\n<\/li>\n<li>\n<p>Dumpert<\/p>\n<\/li>\n<li>\n<p>Lazagne<\/p>\n<\/li>\n<li>\n<p>nanodump<\/p>\n<\/li>\n<\/ul>\n<p>\u041d\u0430 \u0434\u0430\u043d\u043d\u043e\u043c \u044d\u0442\u0430\u043f\u0435 \u043d\u0435 \u0431\u0443\u0434\u0435\u043c \u0443\u0433\u043b\u0443\u0431\u043b\u044f\u0442\u044c\u0441\u044f, \u043a\u0430\u043a \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043a\u0430\u0436\u0434\u044b\u0439 \u0438\u0437 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0438\u043b\u0438 \u043a\u0430\u043a\u0443\u044e \u0442\u0435\u0445\u043d\u0438\u043a\u0443 \u043e\u043d \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442. \u0412 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u043c \u043f\u0440\u0438 \u043e\u0431\u0437\u043e\u0440\u0435 \u0434\u0435\u0442\u0435\u043a\u0442\u043e\u0432, \u0435\u0441\u043b\u0438 \u043e\u043d\u0438 \u0431\u0443\u0434\u0443\u0442 \u0431\u0430\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u043d\u0430 \u0442\u043e\u0439 \u0438\u043b\u0438 \u0438\u043d\u043e\u0439 \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u0438, \u0442\u043e \u043f\u043e\u0441\u0442\u0430\u0440\u0430\u0435\u043c\u0441\u044f \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u0442\u044c\u0441\u044f \u0438 \u0432 \u043d\u0435\u0439.\u00a0<\/p>\n<h3>\u0418\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0438 \u0441\u043e\u0431\u044b\u0442\u0438\u0439<\/h3>\n<p>\u041e\u0441\u043d\u043e\u0432\u043d\u044b\u043c \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u043e\u043c \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043c\u043e\u0436\u0435\u0442 \u0441\u043b\u0443\u0436\u0438\u0442\u044c \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u0438\u0439 EDR, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0438\u0439 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0442\u044c \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432, \u0438\u0445 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u044b\u0435 \u0441\u0442\u0440\u043e\u043a\u0438, \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430\u043c, \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u043e\u0432. \u0418\u043b\u0438 \u043e\u0442\u043a\u0440\u044b\u0442\u044b\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u044f, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a Sysmon. \u041d\u0443 \u0438, \u043a\u043e\u043d\u0435\u0447\u043d\u043e, \u0436\u0443\u0440\u043d\u0430\u043b Security \u041e\u0421 Windows \u0434\u043b\u044f \u0443\u0437\u043a\u043e\u0433\u043e \u043a\u0440\u0443\u0433\u0430 \u0434\u0435\u0442\u0435\u043a\u0442\u043e\u0432. <\/p>\n<p>\u041d\u0438\u0436\u0435 \u043f\u0440\u0438\u0432\u0435\u0434\u0443 \u043f\u0440\u0438\u043c\u0435\u0440 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 Sysmon \u0434\u043b\u044f \u0434\u0435\u0442\u0435\u043a\u0442\u043e\u0432, \u0440\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0435\u043c\u044b\u0445 \u0432 \u0434\u0430\u043d\u043d\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435<\/p>\n<pre><code class=\"xml\">&lt;!-- Event ID 7 == ImageLoad. --> &lt;ImageLoad onmatch=\"include\">     &lt;Rule groupRelation=\"and\">         &lt;Image condition=\"end with\">\\lsass.exe&lt;\/Image>         &lt;Signed condition=\"is\">false&lt;\/Signed>     &lt;\/Rule>     &lt;Rule name=\"Suspicious dbghelp, dbgcore load\" groupRelation=\"and\">         &lt;ImageLoaded condition=\"contains\">\\dbghelp.dll&lt;\/ImageLoaded> &lt;ImageLoaded condition=\"contains\">\\dbgcore.dll&lt;\/ImageLoaded> &lt;Image condition=\"end with\">\\msbuild.exe&lt;\/Image> &lt;Image condition=\"end with\">\\cmd.exe&lt;\/Image> &lt;Image condition=\"end with\">\\rundll32.exe&lt;\/Image> &lt;Image condition=\"end with\">\\powershell.exe&lt;\/Image> &lt;Image condition=\"end with\">\\word.exe&lt;\/Image> &lt;Image condition=\"end with\">\\excel.exe&lt;\/Image> &lt;Image condition=\"end with\">\\powerpnt.exe&lt;\/Image> &lt;Image condition=\"end with\">\\outlook.exe&lt;\/Image> &lt;Image condition=\"end with\">\\monitoringhost.exe&lt;\/Image> &lt;Image condition=\"end with\">\\wmic.exe&lt;\/Image> &lt;Image condition=\"end with\">\\bash.exe&lt;\/Image> &lt;Image condition=\"end with\">\\wscript.exe&lt;\/Image> &lt;Image condition=\"end with\">\\cscript.exe&lt;\/Image> &lt;Image condition=\"end with\">\\mshta.exe&lt;\/Image> &lt;Image condition=\"end with\">\\regsvr32.exe&lt;\/Image> &lt;Image condition=\"end with\">\\schtasks.exe&lt;\/Image> &lt;Image condition=\"end with\">\\dnx.exe&lt;\/Image> &lt;Image condition=\"end with\">\\regsvcs.exe&lt;\/Image> &lt;Image condition=\"end with\">\\sc.exe&lt;\/Image> &lt;Image condition=\"end with\">\\scriptrunner.exe&lt;\/Image>     &lt;\/Rule> &lt;\/ImageLoad> &lt;!-- Event ID 8 == CreateRemoteThread. --> &lt;CreateRemoteThread onmatch=\"include\"> &lt;Rule groupRelation=\"and\"> &lt;TargetImage condition=\"is\">c:\\windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;\/Rule> &lt;\/CreateRemoteThread> &lt;!-- Event ID 10 == ProcessAccess. --> &lt;ProcessAccess onmatch=\"include\"> &lt;CallTrace name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"contains\">dbghelp.dll&lt;\/CallTrace> &lt;CallTrace name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"contains\">dbgcore.dll&lt;\/CallTrace> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x1FFFFF&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x1F1FFF&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x1010&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x143A&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x1438&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x40&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x1418&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x1410&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x1010&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x13fff&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x705&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping WinRM Mimikatz\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;SourceImage>C:\\Windows\\system32\\wsmprovhost.exe&lt;\/SourceImage> &lt;\/Rule> &lt;\/ProcessAccess> &lt;!-- Event ID 11 == FileCreate. --> &lt;FileCreate onmatch=\"include\"> &lt;TargetFilename condition=\"end with\">.dmp&lt;\/TargetFilename> &lt;TargetFilename condition=\"contains\">lsass&lt;\/TargetFilename> &lt;\/FileCreate> &lt;\/RuleGroup> &lt;!-- Event ID 12,13,14 == RegObject added\/deleted, RegValue Set, RegObject Renamed. --> &lt;RegistryEvent onmatch=\"include\" &lt;TargetObject condition=\"contains\">\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\Security Packages&lt;\/TargetObject> &lt;TargetObject condition=\"contains\">\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\OSConfig\\Security Packages&lt;\/TargetObject> &lt;\/RegistryEvent> &lt;\/RuleGroup> <\/code><\/pre>\n<p>\u0420\u0430\u0437 \u0443\u0436\u0435 \u043a\u043e\u0441\u043d\u0443\u043b\u0438\u0441\u044c \u0442\u0435\u043c\u044b Sysmon, \u0442\u043e \u043d\u0430\u0447\u043d\u0435\u043c \u0441 \u043d\u0435\u0433\u043e.<\/p>\n<p>\u0421\u0430\u043c\u0438 \u0434\u0435\u0442\u0435\u043a\u0442\u044b \u043e\u043f\u0438\u0441\u0430\u043d\u044b \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u0438\u043d\u0442\u0430\u043a\u0441\u0438\u0441\u0430 \u043f\u0440\u043e\u0435\u043a\u0442\u0430 Sigma, \u043f\u043e\u00a0<a href=\"https:\/\/github.com\/SigmaHQ\/sigma\/wiki\/Specification\">\u0441\u0441\u044b\u043b\u043a\u0435<\/a>\u00a0\u043c\u043e\u0436\u043d\u043e \u0441 \u043d\u0438\u043c \u043e\u0437\u043d\u0430\u043a\u043e\u043c\u0438\u0442\u044c\u0441\u044f.<\/p>\n<p><strong>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 (Sysmon<\/strong><a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/downloads\/sysmon#event-id-1-process-creation\"><strong>\u00a0EventID 1<\/strong><\/a><strong>\u00a0\u0438\u043b\u0438 Windows Se\u0441urity\u00a0<\/strong><a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/security\/threat-protection\/auditing\/event-4688\"><strong>EventID 4688<\/strong><\/a><strong>)<\/strong><\/p>\n<p>\u0415\u0441\u0442\u044c \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0435\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0432 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0438 \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 LSASS \u0438\u043b\u0438 \u043d\u0430\u0434 \u043d\u0438\u043c.<\/p>\n<p>\u041f\u0440\u043e\u0446\u0435\u0441\u0441 LSASS \u0440\u0435\u0434\u043a\u043e \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0434\u043e\u0447\u0435\u0440\u043d\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b \u0432 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0445 \u0446\u0435\u043b\u044f\u0445. \u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u044f \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432, \u0433\u0434\u0435 \u0440\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u043c \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f LSASS, \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u044f\u0432\u0438\u0442\u044c \u0442\u0435\u0445\u043d\u0438\u043a\u0443 \u0437\u0430\u043a\u0440\u0435\u043f\u043b\u0435\u043d\u0438\u044f \u0447\u0435\u0440\u0435\u0437\u00a0\u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 LSA Password Filters, Security Packages \u0438\u043b\u0438 Authentication Packages:<\/p>\n<pre><code class=\"yaml\">logsource:     category: process_create     product: sysmon detection:     selection:         ParentImage: 'C:\\Windows\\System32\\lsass.exe'         TerminalSessionId: '0'         winlog.event_data.User: - 'NT AUTHORITY\/SYSTEM' - 'NT AUTHORITY\/\u0421\u0418\u0421\u0422\u0415\u041c\u0410'     condition: selection tags:     - attack.t1068     - attack.t1003.001     - attack t1547.002      - attack t1547.005     - attack t1547.008     - attack t1556.002<\/code><\/pre>\n<p>\u0414\u0440\u0443\u0433\u043e\u0439 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u0439 \u0432\u0430\u0440\u0438\u0430\u043d\u0442 \u2014 \u0430\u043d\u0430\u043b\u0438\u0437 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u044b\u0445 \u0441\u0442\u0440\u043e\u043a \u043f\u0440\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432. \u042d\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0432\u044b\u044f\u0432\u043b\u044f\u0442\u044c \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u043d\u044b\u0435 \u043a\u043b\u044e\u0447\u0438 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c (Mimikatz, Pypykatz, CQTools,\u00a0comsvcs.dll \u0438 rundll32 \u0438 \u0442.\u0434.)<\/p>\n<p>\u041f\u0440\u0438\u043c\u0435\u0440 \u0434\u0435\u0442\u0435\u043a\u0442\u0430 \u0434\u043b\u044f Pypykatz \u043f\u043e \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u043c \u0441\u043b\u043e\u0432\u0430\u043c:\u00a0 \u00a0<\/p>\n<pre><code class=\"yaml\">logsource:     category: process_create     product: sysmon detection:     selection_common:         CommandLine|contains: 'pypykatz'         CommandLine|contains: ' dcc2 -i'         CommandLine|contains: ' gppass '     selection_live:         CommandLine|contains: ' live '         CommandLine|contains:             - ' lsa'             - ' registry'             - ' kerberos'             - ' share'             - ' session'             - ' localgroup'             - ' dpapi'             - ' ldap'             - ' smb'             - ' process'             - ' token'             - ' users'     selection_lsa:         CommandLine|contains: ' lsa '         CommandLine|contains:             - ' minidump'             - ' rekall'     selection_registry:         CommandLine|contains: ' registry '         CommandLine|contains:             - ' --sam'             - ' --security'             - ' --software'     selection_kerberos:         CommandLine|contains: ' kerberos '         CommandLine|contains:             - ' tgt'             - ' tgs'             - ' brute'             - ' asreproast'             - ' spnroast'             - ' s4u'             - ' keytab'             - ' ccache'             - ' kirbi'     selection_dpapi:         CommandLine|contains: ' dpapi '         CommandLine|contains:             - ' prekey'             - ' minidump'             - ' masterkey'             - ' asreproast'             - ' credential'             - ' vcred'             - ' vpol'             - ' securestring'             - ' blob'     selection_ldap:         CommandLine|contains: ' ldap '         CommandLine|contains: ' ldap:\/\/'     selection_smb:         CommandLine|contains: ' smb '         CommandLine|contains:             - ' console'             - ' lsassfile'             - ' lsassdump'             - ' regfile'             - ' regdump'             - ' dcsync'             - ' secretdump'     condition: selection_common or selection_live or selection_lsa or selection_registry or selection_kerberos or selection_dpapi or selection_ldap or selection_smb tags:     - attack.t1003     - attack.t1098     - attack t1552.001      - attack t1207     - attack t1550.002     - attack t1150.003     - attack t1552.004     - attack t1547.005     - attack t1134.005      <\/code><\/pre>\n<p>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0443\u0442\u0438\u043b\u0438\u0442\u044b mimikatz \u043f\u043e \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u043c \u0441\u043b\u043e\u0432\u0430\u043c:<\/p>\n<pre><code class=\"yaml\">logsource:     category: process_create     product: sysmon detection:     selection:         CommandLine|contains:             - 'mimikatz'             - 'mimilib'             - '.3 eo.oe'             - 'eo.oe.kiwi'             - 'privilege..debug'             - 'sekurlsa..logonpasswords'             - 'lsadump..sam'             - 'mimidrv.sys'             - ' p::d'             - ' s::l'             - ' rpc..server'     condition: selection tags:     - attack.t1003     - attack.t1098     - attack t1552.001      - attack t1207     - attack t1550.002     - attack t1150.003     - attack t1552.004     - attack t1547.005     - attack t1134.005<\/code><\/pre>\n<p>\u041d\u0438\u0436\u0435 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d \u043d\u0430\u0431\u043e\u0440 \u0434\u0435\u0442\u0435\u043a\u0442\u043e\u0432 \u0434\u043b\u044f \u0440\u0430\u0437\u043b\u0438\u043d\u044b\u0445 \u0443\u0442\u0438\u043b\u0438\u0442 \u0438 \u0441\u0440\u0435\u0434\u0441\u0442\u0432, \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u0430\u043c\u043f \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u0438\u0437 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u043e\u0432, \u0432 \u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0435 LSASS:<\/p>\n<pre><code class=\"yaml\">logsource:     category: process_create     product: sysmon detection:     selection_shadow:         CommandLine|contains: 'shadowcopy'         CommandLine|contains: 'create'         Image|endswith:             - '\\powershell.exe'             - '\\powershell_ise.exe'             - '\\pwsh.exe'     selection_vssadmin:         Image|endswith: '\\vssadmin.exe'         CommandLine|contains: 'shadow'         CommandLine|contains:             - 'list'             - 'create'             - 'delete'             - 'resize'     selection_ntds_sam:         CommandLine|contains:             - '\\windows\\ntds\\ntds.dit'             - '\\system32\\config\\sam'             - '\\system32\\config\\security'             - '\\system32\\config\\system'     selection_mklink:         CommandLine|contains: 'mklink'         CommandLine|contains: 'HarddiskVolumeShadowCopy'     selection_ntdsutil:         Image|endswith: '\\ntdsutil.exe'         CommandLine|contains: 'ntds'         CommandLine|contains: 'create'         CommandLine|contains: 'full'     selection_reg:         CommandLine|contains: 'reg'         CommandLine|contains:              - 'e\\?port'             - '\\?ave'         CommandLine|contains:         - 'hk.m..y.tem'         - 'hk.m..am'         - 'hk.m..ecurity'         - 'hkey_.oca._machine..y.tem'         - 'hkey_.oca._machine..am'         - 'hkey_.oca._machine..ecurity'     selection_sqldumper:         Image|endswith: '\\SqlDumper.exe'         CommandLine|contains: 'SqlDumper.exe* 0 *'     selection_tttracer:         Image|endswith: '\\tttracer.exe'         CommandLine|contains: ' -dumpFull*-attach '     selection_1:         CommandLine|contains: '-Target'         CommandLine|contains: '-Hash'         CommandLine|contains: '-Username'         CommandLine|contains:             - 'Invoke-TheHash'             - 'Invoke-SMBEnum'             - 'Invoke-WMIExec'             - 'Invoke-SMBExec'     selection_2:         CommandLine|contains: 'Invoke-SMBClient'         CommandLine|contains: '-Hash'         CommandLine|contains: '-Username'     selection_3:         CommandLine|contains: 'crackmapexec'         CommandLine|contains: '-H '         CommandLine|contains: '-u '     selection_4:         CommandLine|contains: 'wmiexec'         CommandLine|contains: '-hashes'     selection_5:         CommandLine|contains: 'psexec'         CommandLine|contains: '-hashes'     selection_6:         CommandLine|contains: 'vaultcmd'         CommandLine|contains: '\/list'     selection_7:         CommandLine|contains: 'RdrLeakDiag'         CommandLine|contains: '\/fullmemdmp'     selection_8:         CommandLine|contains: 'diskshadow'         CommandLine|contains: '\/s '     condition: selection_shadow or selection_vssadmin or selection_ntds_sam or selection_mklink or selection_ntdsutil or selection_reg or selection_sqldumper or selection_tttracer or selection_* tags:     - attack.t1003.001     - attack.t1003.002     - attack.t1003.003     - attack.t1003.004     - attack.t1003.005<\/code><\/pre>\n<p>\u041e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0435 \u043f\u0440\u0438\u0437\u043d\u0430\u043a\u043e\u0432 \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0431\u0438\u043d\u0430\u0440\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u0443\u0442\u0438\u043b\u0438\u0442 CQTools. \u0414\u0430\u043d\u043d\u044b\u0435 \u0443\u0442\u0438\u043b\u0438\u0442\u044b \u043c\u043e\u0433\u0443\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430\u043c\u0438 \u0434\u043b\u044f \u0438\u0437\u0432\u043b\u0435\u0447\u0435\u043d\u0438\u044f \u0438 \u0434\u0435\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u0430\u0440\u043e\u043b\u0435\u0439 \u041e\u0421 Windows. \u0412 \u0441\u043e\u0441\u0442\u0430\u0432 \u0442\u0430\u043a\u0436\u0435 \u0432\u0445\u043e\u0434\u044f\u0442 \u0443\u0442\u0438\u043b\u0438\u0442\u044b \u0434\u043b\u044f \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u0438 \u043f\u0435\u0439\u043b\u043e\u0434\u0430, \u0441\u043d\u0438\u0444\u0444\u0438\u043d\u0433\u0430, \u0441\u043f\u0443\u0444\u0444\u0438\u043d\u0433\u0430, \u043a\u0435\u0439\u043b\u043e\u0433\u0433\u0435\u0440\u044b \u0438 \u0442.\u0434.<\/p>\n<pre><code class=\"yaml\">logsource: category: process_create product: sysmon detection: selection_CL: CommandLine|contains: - 'cqtools' - '--samdump' - '--dccdump' - '--sam=' - '--sec=' - '--sys=' - '--newmsdcc=' - '--pass=' - '--bootkey=' - '--kdsrootkeyfile' - '--golden=' - '--masterkeyfile=' - '--exe=' selection_PC: Image|endswith: - '\\CQLsassSecretsDumper.exe' - '\\CQCat.exe' - '\\CQCreateProcessWithParent.exe' - '\\CQDPAPIBlobDecrypter.exe' - '\\CQDPAPIBlobSearcher.exe' - '\\CQDPAPIEncDec.exe' - '\\CQFindBin.exe' - '\\CQHashesCalc.exe' - '\\CQImpersonate.exe' - '\\CQMasterKeyDecrypt.exe' - '\\CQMasterKeyEncrypt.exe' - '\\CQMSGDecode.exe' - '\\CQRDCManDecrypter.exe' - '\\CQRegKeyLastWriteTime.exe' - '\\CQRegKeyLastWriteTime_32.exe' - '\\CQRegTool.exe' - '\\CQReverseShellGen.exe' - '\\CQRunInAppContainer.exe' - '\\CQSecretsDumper.exe' - '\\CQSymbolInstaller.exe' - '\\CQArpSpoof.exe' - '\\CQDPAPIKeePassDBDecryptor.exe' - '\\ETWKeylogger.exe' - '\\CQHashDumpv2.exe' - '\\PfxRegenerator.exe' - '\\CQPrefetchParser.exe' - '\\CQRdcache.exe' - '\\CQWSLMonitor.exe' condition: selection_CL or selection_PC tags: - attack.t1003 - attack.t1040 - attack.t1555.003<\/code><\/pre>\n<p>\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u043e\u0439 \u0432 Windows \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438\u00a0comsvcs.dll<\/p>\n<pre><code class=\"yaml\">logsource: category: process_create product: sysmon detection: selection_CL: CommandLine|contains: - 'comsvcsMiniDumpfull' - 'comsvcsMiniDumpWfull' selection_PC: Image|endswith: - '\\Windows\\powershell.exe' - '\\Windows\\powershell_ise.exe' - '\\Windows\\pwsh.exe' - '\\psexec.exe' - '\\psexec64.exe' - '\\Windows\\cscript.exe' - '\\Windows\\wscript.exe' - '\\Windows\\mshta.exe' - '\\Windows\\regsvr32.exe' - '\\Windows\\wmic.exe' - '\\Windows\\certutil.exe' - '\\Windows\\rundll32.exe' - '\\Windows\\cmstp.exe' - '\\Windows\\msiexec.exe' - '\\Windows\\*\\cmd.exe' condition: selection_CL or selection_PC tags: - attack.t1059 - attack.t1003.001 - attack.t1218.011<\/code><\/pre>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/c76\/eea\/329\/c76eea3291ee16602e8177ed4526784c.png\" width=\"2089\" height=\"175\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/c76\/eea\/329\/c76eea3291ee16602e8177ed4526784c.png\"\/><figcaption><\/figcaption><\/figure>\n<p><strong>\u0417\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0434\u0440\u0430\u0439\u0432\u0435\u0440\u0430 (Image loaded: Sysmon\u00a0<\/strong><a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/downloads\/sysmon#event-id-6-driver-loaded\"><strong>Event ID 6<\/strong><\/a><strong>)<\/strong><\/p>\n<p>\u041f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u043c\u044b\u0435 \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0443 \u0434\u0440\u0430\u0439\u0432\u0435\u0440\u044b. \u0427\u0442\u043e \u0434\u0430\u0435\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043e\u0442\u0441\u043b\u0435\u0434\u0438\u0442\u044c, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0433\u043e \u0434\u0440\u0430\u0439\u0432\u0435\u0440\u0430 \u0443\u0442\u0438\u043b\u0438\u0442\u043e\u0439 Mimikatz.<\/p>\n<p>Mimikatz \u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u0440\u0435\u0436\u0438\u043c\u0430 \u044f\u0434\u0440\u0430 \u0447\u0435\u0440\u0435\u0437 \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u043d\u044b\u0439 \u0432 \u0435\u0433\u043e \u0441\u043e\u0441\u0442\u0430\u0432 \u0434\u0440\u0430\u0439\u0432\u0435\u0440 Mimidrv. \u0427\u0435\u0440\u0435\u0437 \u0434\u0440\u0430\u0439\u0432\u0435\u0440 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 Windows, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0435\u043b\u044c\u0437\u044f \u0432\u044b\u0437\u044b\u0432\u0430\u0442\u044c \u0438\u0437 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u043e\u0433\u043e \u0440\u0435\u0436\u0438\u043c\u0430, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u0430\u0442\u0440\u0438\u0431\u0443\u0442\u043e\u0432 \u0437\u0430\u043f\u0443\u0449\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0438 \u043d\u0435\u043f\u043e\u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0435 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435 \u0441 \u0434\u0440\u0443\u0433\u0438\u043c\u0438 \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u043c\u0438 \u0434\u0440\u0430\u0439\u0432\u0435\u0440\u0430\u043c\u0438. <\/p>\n<pre><code class=\"yaml\">logsource:     category: driver_loaded      product: sysmon detection:     selection:          Signed: false         ImageLoaded|contains: mimidrv     condition: selection tags:     - attack.t1003<\/code><\/pre>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/408\/c13\/332\/408c133325e5649ac7b813c24ad49e64.png\" width=\"1942\" height=\"152\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/408\/c13\/332\/408c133325e5649ac7b813c24ad49e64.png\"\/><figcaption><\/figcaption><\/figure>\n<p><strong>\u0417\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u043c\u043e\u0434\u0443\u043b\u044f \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 (Image loaded: Sysmon\u00a0<\/strong><a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/downloads\/sysmon#event-id-7-image-loaded\"><strong>Event ID 7<\/strong><\/a><strong>)<\/strong><\/p>\n<p>\u0421\u043e\u0431\u044b\u0442\u0438\u0435 \u043b\u043e\u0433\u0438\u0440\u0443\u0435\u0442 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u043c\u043e\u0434\u0443\u043b\u044f (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, DLL \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438) \u0432 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441. \u0414\u0430\u043d\u043d\u044b\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043e\u0442\u0441\u043b\u0435\u0434\u0438\u0442\u044c \u0437\u043b\u043e\u0443\u043f\u043e\u0442\u0440\u0435\u0431\u043b\u0435\u043d\u0438\u0435 DLL \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0430\u043c\u0438 \u0434\u043b\u044f \u0434\u0430\u043c\u043f\u0430 \u0443\u0447\u0435\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445.<\/p>\n<p>\u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043c\u043e\u0436\u043d\u043e \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0440\u0430\u043d\u0435\u0435 \u0443\u043f\u043e\u043c\u044f\u043d\u0443\u0442\u044b\u0445 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a dbghelp\/dbgcore DLL \u043d\u0435\u0442\u0438\u043f\u0438\u0447\u043d\u044b\u043c\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430\u043c\u0438:<\/p>\n<pre><code class=\"yaml\">logsource:   category: image_load   product: sysmon detection:   selection:     ImageLoaded|endswith:       - '\\dbghelp.dll'       - '\\dbgcore.dll'     Image|endswith:       - '\\msbuild.exe'       - '\\cmd.exe'        - '\\rundll32.exe'       - '\\word.exe'       - '\\excel.exe'       - '\\powerpnt.exe'       - '\\outlook.exe'       - '\\monitoringhost.exe'       - '\\wmic.exe'       - '\\bash.exe'       - '\\wscript.exe'       - '\\cscript.exe'       - '\\mshta.exe'       - '\\schtasks.exe'       - '\\dnx.exe'       - '\\regsvcs.exe'       - '\\sc.exe'       - '\\scriptrunner.exe'   condition: selection tags:     - attack.t1003.001     - attack.t1059<\/code><\/pre>\n<p>\u0418\u043b\u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u043b\u044e\u0431\u043e\u0439 \u043d\u0435 \u043f\u043e\u0434\u043f\u0438\u0441\u0430\u043d\u043d\u043e\u0439 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 LSASS<\/p>\n<pre><code class=\"yaml\">logsource:    category: image_load    product: sysmon detection:   unsigned_dll:      Signed: 'FALSE'     Image|endswith: '\\lsass.exe'   condition: unsigned_dll tags:     - attack.t1003     - attack.t1059<\/code><\/pre>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/472\/4f2\/360\/4724f2360910d2cbeb2733431aad795a.png\" width=\"1928\" height=\"116\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/472\/4f2\/360\/4724f2360910d2cbeb2733431aad795a.png\"\/><figcaption><\/figcaption><\/figure>\n<p><strong>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043f\u043e\u0442\u043e\u043a\u0430 (CreateRemoteThread:\u00a0Sysmon\u00a0<\/strong><a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/downloads\/sysmon#event-id-8-createremotethread\"><strong>Event ID 8<\/strong><\/a><strong>)<\/strong><\/p>\n<p>\u0421\u043e\u0431\u044b\u0442\u0438\u0435 CreateRemoteThread \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442, \u043a\u043e\u0433\u0434\u0430 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u043f\u043e\u0442\u043e\u043a \u0432 \u0434\u0440\u0443\u0433\u043e\u043c \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0435. \u042d\u0442\u043e\u0442 \u043c\u0435\u0442\u043e\u0434 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c\u0438 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0430\u043c\u0438 \u0434\u043b\u044f \u0432\u043d\u0435\u0434\u0440\u0435\u043d\u0438\u044f \u043a\u043e\u0434\u0430 \u0438 \u0441\u043a\u0440\u044b\u0442\u0438\u044f \u0432 \u0434\u0440\u0443\u0433\u0438\u0445 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430\u0445.<\/p>\n<p>\u0414\u0430\u043d\u043d\u044b\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u043c\u043e\u0436\u043d\u043e \u043e\u0442\u0441\u043b\u0435\u0434\u0438\u0442\u044c, \u043a\u043e\u0433\u0434\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u043f\u043e\u0442\u043e\u043a \u0432 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0435 lsass.exe (SamSs-Service) \u0438 \u0432\u044b\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u0437\u0430\u043f\u0440\u043e\u0448\u0435\u043d\u043d\u044b\u0435 \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0438\u0437 \u044d\u0442\u043e\u0433\u043e \u043f\u043e\u0442\u043e\u043a\u0430.<\/p>\n<pre><code class=\"yaml\">logsource:    category: create_remote_thread    product: sysmon detection:   selection:     TargetImage|endswith: '\\lsass.exe'   condition: selection tags:     - attack.t1003<\/code><\/pre>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/519\/da4\/248\/519da4248f31af3ba25d9ea09382e4c8.png\" width=\"1833\" height=\"333\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/519\/da4\/248\/519da4248f31af3ba25d9ea09382e4c8.png\"\/><figcaption><\/figcaption><\/figure>\n<p><strong>\u0414\u043e\u0441\u0442\u0443\u043f \u043a \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 (Process creation: Sysmon\u00a0<\/strong><a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/downloads\/sysmon#event-id-10-processaccess\"><strong>Event ID 10<\/strong><\/a><strong>)<\/strong><\/p>\n<p>C\u043e\u0431\u044b\u0442\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0443 \u043f\u0440\u0435\u0434\u043b\u0430\u0433\u0430\u044e\u0442 \u043e\u0434\u043d\u043e \u0438\u0437 \u043b\u0443\u0447\u0448\u0438\u0445 \u0441\u0440\u0435\u0434\u0441\u0442\u0432 \u0434\u043b\u044f \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0437\u043b\u043e\u0443\u043f\u043e\u0442\u0440\u0435\u0431\u043b\u0435\u043d\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u043f\u0430\u043c\u044f\u0442\u0438 LSASS. \u041d\u043e \u0432 \u0442\u043e\u0436\u0435 \u0432\u0440\u0435\u043c\u044f \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0441\u043b\u043e\u0436\u043d\u043e \u043e\u0442\u0441\u0435\u044f\u0442\u044c \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u044f, \u0442\u0430\u043a \u043a\u0430\u043a \u0431\u043e\u043b\u044c\u0448\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0438\u043c\u0435\u044e\u0442 \u0432\u043f\u043e\u043b\u043d\u0435 \u0441\u0435\u0431\u0435 \u0437\u0430\u043a\u043e\u043d\u043d\u044b\u0435 \u043f\u0440\u0438\u0447\u0438\u043d\u044b \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u043f\u0430\u043c\u044f\u0442\u0438 LSASS. \u0412 \u043f\u0440\u0430\u0432\u0438\u043b\u0435 \u0441\u043e\u0431\u0440\u0430\u043d\u044b \u043d\u0430\u0438\u0431\u043e\u043b\u0435\u0435 \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0444\u043b\u0430\u0433\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0431\u044b\u043b\u0438 \u0437\u0430\u043c\u0435\u0447\u0435\u043d\u044b \u043f\u0440\u0438 \u043e\u0431\u043a\u0430\u0442\u043a\u0435 \u0442\u0443\u043b\u0437\u043e\u0432 \u0434\u043b\u044f \u0434\u0430\u043c\u043f\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 (Mimikatz, pypykatz, nanodump, lazagne, \u0438 \u0442.\u0434.). \u0422\u0430\u043a\u0436\u0435 \u043e\u043d\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 \u0442\u0430\u043a\u0438\u0445 \u0431\u0435\u0437\u043e\u0431\u0438\u0434\u043d\u044b\u0445 \u0441\u0440\u0435\u0434\u0441\u0442\u0432, \u043a\u0430\u043a Task Manager, procdump, Process Monitor, Process Hacker.<\/p>\n<pre><code class=\"yaml\">logsource:     category: process_access     product: sysmon detection:     selection_1:         GrantedAccess:                  - 0x1FFFFF         - 0x1F1FFF         - 0x1438         - 0x143a         - 0x40         - 0x1418         - 0x1410         - 0x1010         - 0x13fff         - 0x705     selection_2:         CallTrace|Contains: 'dbghelp'         CallTrace|Contains: 'dbgcore'     selection_3:         TargetImage: 'C:\\Windows\\system32\\lsass.exe'     condition: selection_3 and (selection_1 or selection_2) tags:     - attack.t1003<\/code><\/pre>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/d0e\/339\/c6f\/d0e339c6f8fd56b6debfc1062b4d23c6.png\" width=\"2339\" height=\"217\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/d0e\/339\/c6f\/d0e339c6f8fd56b6debfc1062b4d23c6.png\"\/><figcaption><\/figcaption><\/figure>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/9fb\/a00\/af3\/9fba00af3673fde27b7cd1c4459a2c87.png\" width=\"2342\" height=\"180\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/9fb\/a00\/af3\/9fba00af3673fde27b7cd1c4459a2c87.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u0418\u043b\u0438, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0434\u0430\u043d\u043d\u043e\u0433\u043e \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043c\u043e\u0436\u043d\u043e \u00ab\u043e\u0442\u043b\u0430\u0432\u043b\u0438\u0432\u0430\u0442\u044c\u00bb \u0444\u0430\u043a\u0442\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u043c\u00a0<a href=\"https:\/\/pentestlab.blog\/2018\/05\/15\/lateral-movement-winrm\/\">Mimikatz \u0447\u0435\u0440\u0435\u0437 WinRM<\/a>:<\/p>\n<pre><code class=\"yaml\">logsource:     category: process_access     product: sysmon detection:     selection:         TargetImage|endswith: '\\lsass.exe'         SourceImage: 'C:\\Windows\\system32\\wsmprovhost.exe'     condition: selection tags:     - attack.t1003     - attack.t1021.006<\/code><\/pre>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/656\/47c\/629\/65647c629ea18b057fb5b9852b0ced5a.png\" width=\"1748\" height=\"108\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/656\/47c\/629\/65647c629ea18b057fb5b9852b0ced5a.png\"\/><figcaption><\/figcaption><\/figure>\n<p><strong>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430 (FileCreate: Sysmon\u00a0<\/strong><a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/downloads\/sysmon#event-id-11-filecreate\"><strong>Event ID 11<\/strong><\/a><strong>)<\/strong><\/p>\n<p>\u041d\u0435 \u0441\u0435\u043a\u0440\u0435\u0442, \u0447\u0442\u043e \u043f\u0440\u0438 \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u043a \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0443 LSASS.exe \u0437\u0430\u0447\u0430\u0441\u0442\u0443\u044e \u0441\u043e\u0437\u0434\u0430\u0435\u0442\u0441\u044f \u043e\u0431\u0440\u0430\u0437 \u0434\u0430\u043c\u043f\u0430\u00a0\u0435\u0433\u043e \u043f\u0430\u043c\u044f\u0442\u0438 \u043d\u0430 \u0436\u0435\u0441\u0442\u043a\u043e\u043c \u0434\u0438\u0441\u043a\u0435 \u2014 \u0434\u043b\u044f \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0439 \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0438 \u0438 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0442\u0430\u043a \u043d\u0430\u0437\u044b\u0432\u0430\u0435\u043c\u043e\u0433\u043e offline \u0432\u0437\u043b\u043e\u043c\u0430 \u043f\u0430\u0440\u043e\u043b\u0435\u0439. \u041c\u043e\u0436\u043d\u043e \u044d\u0442\u0438\u043c \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0438 \u043f\u043e\u043f\u0440\u043e\u0431\u043e\u0432\u0430\u0442\u044c \u043e\u0442\u044b\u0441\u043a\u0438\u0432\u0430\u0442\u044c \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0444\u0430\u0439\u043b\u043e\u0432 \u0441 &#8216;lsass&#8217; \u0432 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0438 \u0438\u043b\u0438 \u0441 \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435\u043c dmp.<\/p>\n<pre><code class=\"yaml\">logsource:    category: file_create    product: sysmon detection:   selection:     TargetFileName|endswith: 'lsass'     TargetFileName|endswith: '.dmp'   condition: selection tags:     - attack.t1003<\/code><\/pre>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/5f7\/53e\/091\/5f753e0917cc4f0095b0722eabed12c1.png\" width=\"2177\" height=\"398\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/5f7\/53e\/091\/5f753e0917cc4f0095b0722eabed12c1.png\"\/><figcaption><\/figcaption><\/figure>\n<p><strong>\u0421\u043e\u0431\u044b\u0442\u0438\u044f \u0440\u0435\u0435\u0441\u0442\u0440\u0430\u00a0 (RegistryEvent (Object create and delete, Value Set, Key and Value Rename): Sysmon\u00a0<\/strong><a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/downloads\/sysmon#event-id-12-registryevent-object-create-and-delete\"><strong>Event ID 12&amp;13&amp;14<\/strong><\/a><strong>)<\/strong><\/p>\n<p>\u0417\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u043c\u043e\u0433\u0443\u0442 \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430 \u043f\u0440\u0438 \u043a\u0430\u0436\u0434\u043e\u0439 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0438\u043b\u0438 \u043f\u0440\u0438 \u0432\u044b\u0437\u043e\u0432\u0435 API-\u0444\u0443\u043d\u043a\u0446\u0438\u0438 AddSecurityPackage. \u042d\u0442\u043e \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0434\u043e\u0431\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0432 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044e Local Security Authority (LSA) \u0444\u0438\u043a\u0442\u0438\u0432\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0438 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u2014 Security Support Provider (SSP). SSP \u2014 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u044b\u0435 \u043c\u043e\u0434\u0443\u043b\u0438 (DLL), \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0435 \u043e\u0434\u043d\u0443 \u0438\u043b\u0438 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0441\u0445\u0435\u043c \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u0438 \u043a\u0440\u0438\u043f\u0442\u043e\u0433\u0440\u0430\u0444\u0438\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u044e\u0442\u0441\u044f \u0432 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 LSASS \u043f\u0440\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u044b. DLL-\u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 SPP \u0438\u043c\u0435\u044e\u0442 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0437\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u043c \u0438 \u043e\u0442\u043a\u0440\u044b\u0442\u044b\u043c \u0442\u0435\u043a\u0441\u0442\u043e\u0432\u044b\u043c \u043f\u0430\u0440\u043e\u043b\u044f\u043c, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0445\u0440\u0430\u043d\u044f\u0442\u0441\u044f \u0432 Windows.<\/p>\n<p>\u041f\u0440\u043e\u0435\u043a\u0442 Mimikatz \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0444\u0430\u0439\u043b DLL (mimilib.dll), \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u043c\u0435\u0441\u0442\u0438\u0442\u044c \u0432 \u0442\u043e \u0436\u0435  \u043c\u0435\u0441\u0442\u043e, \u0447\u0442\u043e \u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 LSASS (System32), \u0447\u0442\u043e\u0431\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0432 \u0432\u0438\u0434\u0435 plin text \u0434\u043b\u044f \u043b\u044e\u0431\u043e\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u0438\u043e\u0431\u0440\u0435\u0442\u0430\u0435\u0442 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c\u0443 \u0445\u043e\u0441\u0442\u0443.<\/p>\n<p>\u041e\u0442\u0441\u043b\u0435\u0434\u0438\u0442\u044c \u0434\u043e\u0431\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0444\u0438\u043a\u0442\u0438\u0432\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0432\u0430\u0439\u0434\u0435\u0440\u0430 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0438 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u043c\u043e\u0436\u043d\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c:<\/p>\n<pre><code class=\"yaml\">logsource:    category: registry    product: sysmon detection:   selection:     TargetObject|contains: '\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\Security Packages'     TargetObject|contains: '\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\OSConfig\\Security Packages'   condition: selection tags:     - attack.t1547.005<\/code><\/pre>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/afb\/ce9\/605\/afbce960592dfb6d30c8a3620c13dd76.png\" width=\"1900\" height=\"116\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/afb\/ce9\/605\/afbce960592dfb6d30c8a3620c13dd76.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u041f\u043e PID \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 \u043c\u043e\u0436\u043d\u043e \u043e\u0442\u0441\u043b\u0435\u0434\u0438\u0442\u044c \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u0443\u044e \u0441\u0442\u0440\u043e\u043a\u0443 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 \u0438 \u043e\u0446\u0435\u043d\u0438\u0442\u044c, \u0447\u0442\u043e \u0438\u043c\u0435\u043d\u043d\u043e \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u043b\u043e\u0441\u044c \u0432 \u0440\u0435\u0435\u0441\u0442\u0440:<\/p>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/49a\/454\/e2f\/49a454e2f6866f7c56ccf6e0f327d232.png\" width=\"1973\" height=\"130\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/49a\/454\/e2f\/49a454e2f6866f7c56ccf6e0f327d232.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u041d\u0443 \u0438 \u043d\u0430\u043f\u043e\u0441\u043b\u0435\u0434\u043e\u043a \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c, \u043a\u0430\u043a \u043c\u043e\u0436\u043d\u043e \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043c\u0430\u043d\u0438\u043f\u0443\u043b\u044f\u0446\u0438\u0438 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430 \u043d\u0430\u0434 LSASS \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0436\u0443\u0440\u043d\u0430\u043b\u043e\u0432 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 OC Windows. <\/p>\n<p><strong>\u0411\u044b\u043b \u0437\u0430\u043f\u0440\u043e\u0448\u0435\u043d \u0434\u0435\u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0440 \u043a \u043e\u0431\u044a\u0435\u043a\u0442\u0443 (Windows Se\u0441urity\u00a0<\/strong><a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/security\/threat-protection\/auditing\/event-4656\"><strong>EventID 4656<\/strong><\/a><strong>)<\/strong><\/p>\n<p>\u0414\u0430\u043d\u043d\u043e\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u0435 \u043f\u043e \u0441\u0432\u043e\u0435\u0439 \u0441\u0443\u0442\u0438 \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u043e Event ID 10 \u043e\u0442 sysmon. \u0418 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043e\u0442\u0441\u043b\u0435\u0434\u0438\u0442\u044c \u0441 \u043a\u0430\u043a\u0438\u043c\u0438 \u043f\u0440\u0430\u0432\u0430\u043c\u0438 \u0431\u044b\u043b \u0437\u0430\u043f\u0440\u043e\u0448\u0435\u043d \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043e\u0431\u044a\u0435\u043a\u0442\u0443.<\/p>\n<pre><code class=\"yaml\">logsource:    category: process_access    product: windows detection:   selection_1:     ObjectName|endswith: '\\lsass.exe'   selection_2:     AccessMasks:        - '0x40'     - '0x1400'     - '0x1000'     - '0x100000'     - '0x1410'     - '0x1010'     - '0x1438'     - '0x143a'     - '0x1418'     - '0x1f0fff'     - '0x1f1fff'     - '0x1f2fff'     - '0x1f3fff'   condition: selection_1 and selection_2 tags:     - attack.t1003<\/code><\/pre>\n<p><strong>\u0421\u0435\u0440\u0432\u0438\u0441 \u0431\u044b\u043b \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0443 (Windows Security\u00a0<\/strong><a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/security\/threat-protection\/auditing\/event-4697\"><strong>EventID 4697<\/strong><\/a><strong>\u00a0\u0438 Windows System\u00a0<\/strong><a href=\"https:\/\/www.manageengine.com\/products\/active-directory-audit\/kb\/system-events\/event-id-7045.html\"><strong>EventID 7045<\/strong><\/a><strong>)<\/strong><\/p>\n<p>\u041c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e \u041f\u041e \u043f\u0440\u0438 \u0437\u0430\u043a\u0440\u0435\u043f\u043b\u0435\u043d\u0438\u0438, \u043f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u0438 \u0438\u043b\u0438 \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0438 \u0441\u0432\u043e\u0435\u0433\u043e \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u0430 \u043d\u0430 \u0437\u0430\u0440\u0430\u0436\u0435\u043d\u043d\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u0435 \u0441\u043e\u0437\u0434\u0430\u044e\u0442 \u0441\u0435\u0440\u0432\u0438\u0441\u044b. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043d\u0430\u043c\u0438 \u0432\u0441\u0435\u043c\u0438 \u043b\u044e\u0431\u0438\u043c\u044b\u0439  mimikatz\u00a0<a href=\"https:\/\/github.com\/gentilkiwi\/mimikatz\/blob\/110a831ebe7b529c5dd3010f9e7fced0d3e3a46c\/modules\/kull_m_service.c#L138\">\u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0441\u0435\u0440\u0432\u0438\u0441<\/a>\u00a0\u0441 \u0438\u043c\u0435\u043d\u0435\u043c &#171;mimidrv&#187; \u0438 \u0441 \u0430\u0431\u0441\u043e\u043b\u044e\u0442\u043d\u044b\u043c \u043f\u0443\u0442\u0435\u043c \u0434\u043e \u0434\u0440\u0430\u0439\u0432\u0435\u0440\u0430 &#171;mimidrv.sys&#187;.<\/p>\n<pre><code class=\"yaml\">logsource:    category: service_created    product: windows detection:   selection_7045:     event_id: '7045'      ImagePath|contains:        - fgexec     - dumpsvc     - cachedump     - mimidrv     - gsecdump     - servpw     - fgexec     - pwdump     - wceservice     - wceservice     - mimikatz    selection_4697:     event_id: '4697'      ServiceName|contains:        - fgexec     - dumpsvc     - cachedump     - mimidrv     - gsecdump     - servpw     - fgexec     - pwdump     - wceservice     - wceservice     - mimikatz        ServiceFileName|contains:     - fgexec     - dumpsvc     - cachedump     - mimidrv     - gsecdump     - servpw     - fgexec     - pwdump     - wceservice     - wceservice     - mimikatz   condition: selection_1 and selection_2 tags:     - attack.t1003.001     - attack.t1003.002     - attack.t1003.003     - attack.t1003.004     - attack.t1003.005     - attcak.t1569.002<\/code><\/pre>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/cca\/af3\/a19\/ccaaf3a19a0211d8f857ef1c4df21648.png\" width=\"1808\" height=\"103\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/cca\/af3\/a19\/ccaaf3a19a0211d8f857ef1c4df21648.png\"\/><figcaption><\/figcaption><\/figure>\n<p><strong>\u041e\u0431\u044a\u0435\u043a\u0442 \u043e\u0431\u0449\u0435\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u0441\u0435\u0442\u0438 \u0431\u044b\u043b \u043f\u0440\u043e\u0432\u0435\u0440\u0435\u043d, \u0447\u0442\u043e\u0431\u044b \u0443\u0432\u0438\u0434\u0435\u0442\u044c, \u043c\u043e\u0436\u0435\u0442 \u043b\u0438 \u043a\u043b\u0438\u0435\u043d\u0442 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0436\u0435\u043b\u0430\u0435\u043c\u044b\u0439 \u0434\u043e\u0441\u0442\u0443\u043f\u00a0(Windows Security\u00a0<\/strong><a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/security\/threat-protection\/auditing\/event-5145\"><strong>EventID 5145<\/strong><\/a><strong>)<\/strong><\/p>\n<p>\u041f\u0440\u0438 \u0440\u0430\u043d\u0435\u0435 \u0443\u043f\u043e\u043c\u044f\u043d\u0443\u0442\u043e\u043c \u00ab\u043e\u0444\u0444\u043b\u0430\u0439\u043d \u0434\u0430\u043c\u043f\u0435\u00bb \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0443 \u043d\u0430\u0434\u043e \u043a\u0430\u043a-\u0442\u043e \u0431\u0443\u0434\u0435\u0442 \u043f\u0435\u0440\u0435\u0434\u0430\u0442\u044c \u0434\u0430\u043c\u043f \u043f\u0430\u043c\u044f\u0442\u0438 \u0441\u043e \u0441\u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u044b. \u0422\u0443\u0442 \u043d\u0430\u043c \u0438 \u043c\u043e\u0436\u0435\u0442 \u043f\u043e\u043c\u043e\u0447\u044c \u0441\u043e\u0431\u044b\u0442\u0438\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u043e\u0431\u044a\u0435\u043a\u0442\u0430 \u043e\u0431\u0449\u0435\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430.<\/p>\n<pre><code class=\"yaml\">logsource: category: network_share product: windows detection: selection: event_id: '5154' RelativeTargetName|contains: - mimidrv - lsass - minidump - hiberfil - sqldmpr - \\system32\\config\\sam - \\ntds\\ntds.dit - \\system32\\config\\security condition: selection tags: - attack.t1003<\/code><\/pre>\n<figure class=\"full-width\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/habrastorage.org\/r\/w1560\/getpro\/habr\/upload_files\/5c5\/ad2\/90f\/5c5ad290fa5dfbd6d27cb0816bd4f30d.png\" width=\"1741\" height=\"208\" data-src=\"https:\/\/habrastorage.org\/getpro\/habr\/upload_files\/5c5\/ad2\/90f\/5c5ad290fa5dfbd6d27cb0816bd4f30d.png\"\/><figcaption><\/figcaption><\/figure>\n<p>\u0412 \u0434\u0430\u043d\u043d\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u043c\u044b \u043f\u043e\u043f\u044b\u0442\u0430\u043b\u0438\u0441\u044c \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u043e \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0445 \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u0443\u0447\u0435\u0442\u043d\u044b\u043c \u0434\u0430\u043d\u043d\u044b\u043c, \u0445\u0440\u0430\u043d\u044f\u0449\u0438\u043c\u0441\u044f \u0432 lsass. \u0415\u0441\u0442\u044c, \u043a\u043e\u043d\u0435\u0447\u043d\u043e, \u0434\u0440\u0443\u0433\u0438\u0435 \u043c\u0435\u0442\u043e\u0434\u044b \u0438 \u0441\u043f\u043e\u0441\u043e\u0431\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u044f, \u043d\u043e \u043e\u043d\u0438 \u0442\u0440\u0435\u0431\u0443\u044e\u0442 \u043d\u0435\u043c\u043d\u043e\u0433\u043e \u0438\u043d\u043e\u0433\u043e \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u044f, \u0437\u0434\u0435\u0441\u044c \u0436\u0435 \u0445\u043e\u0442\u0435\u043b\u043e\u0441\u044c \u0441\u043e\u0441\u0440\u0435\u0434\u043e\u0442\u043e\u0447\u0438\u0442\u044c\u0441\u044f \u043d\u0430 \u0431\u0430\u0437\u043e\u0432\u043e\u043c \u0438 \u0441\u0432\u043e\u0431\u043e\u0434\u043d\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e\u043c \u041f\u041e (Sysmon \u0438 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0436\u0443\u0440\u043d\u0430\u043b\u043e\u0432 \u041e\u0421 Windows). \u041d\u0430\u0434\u0435\u0435\u043c\u0441\u044f, \u0447\u0442\u043e \u0434\u0430\u043d\u043d\u044b\u0439 \u043e\u0431\u0437\u043e\u0440 \u0431\u044b\u043b \u043f\u043e\u043b\u0435\u0437\u0435\u043d \u0438 \u0432\u0430\u043c \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u043f\u043e\u0447\u0435\u0440\u043f\u043d\u0443\u0442\u044c \u043d\u043e\u0432\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e. \u0414\u043e \u0441\u0432\u044f\u0437\u0438!<\/p>\n<\/p>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"v-portal\" style=\"display:none;\"><\/div>\n<\/div>\n<p> <!----> <!----><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/company\/angarasecurity\/blog\/679592\/\"> https:\/\/habr.com\/ru\/company\/angarasecurity\/blog\/679592\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<div><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<figure class=\"full-width\"><figcaption><\/figcaption><\/figure>\n<p>\u041f\u0440\u0438\u0432\u0435\u0442, \u044f <a href=\"\/users\/gamoverr\">@Gamoverr<\/a>, \u0440\u0430\u0431\u043e\u0442\u0430\u044e \u0430\u043d\u0430\u043b\u0438\u0442\u0438\u043a\u043e\u043c \u0443\u0433\u0440\u043e\u0437 \u0432 Angara Security. \u0410 \u0442\u0435\u043f\u0435\u0440\u044c \u043a \u0434\u0435\u043b\u0443!<\/p>\n<p>Angara SOC \u0441\u043f\u0435\u0448\u0438\u0442 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u044c <a href=\"https:\/\/habr.com\/ru\/company\/angarasecurity\/blog\/661341\/\">\u0441\u0442\u0430\u0442\u044c\u044e \u043d\u0430\u0448\u0438\u0445 \u043a\u043e\u043b\u043b\u0435\u0433 \u0438\u0437 RedTeam<\/a> \u043f\u043e \u0440\u0430\u0437\u0431\u043e\u0440\u0443 \u043c\u0435\u0442\u043e\u0434\u0438\u043a \u0434\u0430\u043c\u043f\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 LSASS. \u041c\u044b \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u044d\u0442\u0443 \u0442\u0435\u043c\u0443 \u0441\u043e \u0441\u0442\u043e\u0440\u043e\u043d\u044b \u0437\u0430\u0449\u0438\u0442\u044b \u0438 \u043c\u0435\u0442\u043e\u0434\u0438\u043a \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0434\u0430\u043d\u043d\u043e\u0439 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438. \u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043a\u0430\u043a\u0438\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0432\u044b\u044f\u0432\u043b\u044f\u0442\u044c \u043d\u0435\u0436\u0435\u043b\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0443\u0447\u0435\u0442\u043d\u044b\u043c \u0434\u0430\u043d\u043d\u044b\u043c, \u0438 \u043a\u0430\u043a \u044d\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0434\u043b\u044f \u043e\u043f\u0435\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0433\u043e \u0440\u0435\u0430\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f.<\/p>\n<p>\u041d\u0435\u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u043b\u0438\u043a\u0431\u0435\u0437<\/p>\n<p>\u0417\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0438 \u043c\u043e\u0433\u0443\u0442 \u0430\u0431\u0443\u0437\u0438\u0442\u044c \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u0438\u00a0<a href=\"https:\/\/attack.mitre.org\/techniques\/T1003\/001\/\"><strong>Local Security Authority Subsystem Service<\/strong><\/a>\u00a0(LSASS), \u0441\u0434\u0430\u043c\u043f\u0438\u0432 \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0434\u043b\u044f \u043f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u044f \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439, \u043a\u0440\u0430\u0436\u0438 \u0434\u0430\u043d\u043d\u044b\u0445 \u0438\u043b\u0438 \u0433\u043e\u0440\u0438\u0437\u043e\u043d\u0442\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u044f \u043f\u043e \u0438\u043d\u0444\u0440\u0430\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0435. \u0412\u0441\u0435 \u0437\u0430\u0432\u0438\u0441\u0438\u0442 \u043e\u0442 \u0442\u043e\u0433\u043e, \u0447\u044c\u044e \u0443\u0447\u0435\u0442\u043d\u0443\u044e \u0437\u0430\u043f\u0438\u0441\u044c \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u0443\u043a\u0440\u0430\u0441\u0442\u044c: \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 \u0434\u043e\u043c\u0435\u043d\u0430, \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 \u0431\u0438\u0437\u043d\u0435\u0441-\u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0438\u043b\u0438 \u043e\u0431\u044b\u0447\u043d\u043e\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f.<\/p>\n<p>\u041f\u0440\u043e\u0446\u0435\u0441\u0441 LSASS \u0432\u0441\u0435\u0433\u0434\u0430 \u0442\u0430\u043a \u0441\u043b\u0430\u0434\u043e\u043a \u0434\u043b\u044f \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u0432 \u0438 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043e\u0434\u043d\u043e\u0439 \u0438\u0437 \u0438\u0445 \u043f\u0435\u0440\u0432\u044b\u0445 \u0446\u0435\u043b\u0435\u0439 \u0438\u0437-\u0437\u0430 \u043e\u0433\u0440\u043e\u043c\u043d\u043e\u0433\u043e \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u0430 \u043a\u043e\u043d\u0444\u0438\u0434\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438, \u043a\u043e\u0442\u043e\u0440\u0443\u044e \u043e\u043d \u0445\u0440\u0430\u043d\u0438\u0442 \u0432 \u043f\u0430\u043c\u044f\u0442\u0438.<\/p>\n<p>\u0410 \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u0432 \u043d\u0435\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0435:<\/p>\n<ul>\n<li>\n<p>\u0417\u0430\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u043f\u0430\u0440\u043e\u043b\u0438,<\/p>\n<\/li>\n<li>\n<p>NT-\u0445\u044d\u0448\u0438,<\/p>\n<\/li>\n<li>\n<p>LM-\u0445\u044d\u0448\u0438,<\/p>\n<\/li>\n<li>\n<p>\u0411\u0438\u043b\u0435\u0442\u044b Kerberos      <\/p>\n<\/li>\n<\/ul>\n<p>\u0414\u043e\u0441\u0442\u0443\u043f \u043a \u0434\u0430\u043d\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c, \u043e\u0431\u043b\u0430\u0434\u0430\u044f \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u044f\u043c\u0438 <strong>SEDebugPrivilege<\/strong>, \u043e\u0431\u044b\u0447\u043d\u043e \u0438\u043c\u0435\u044e\u0449\u0438\u043c\u0438\u0441\u044f \u0443 \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430. \u042d\u0442\u043e \u0443\u0436\u0435 \u0443\u0441\u043b\u043e\u0436\u043d\u044f\u0435\u0442 \u0437\u0430\u0434\u0430\u0447\u0443 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u043c\u0443.<\/p>\n<p>\u0414\u043b\u044f \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u043a \u043f\u0430\u043c\u044f\u0442\u0438 LSASS, \u043a\u0430\u043a \u043c\u044b \u0440\u0430\u043d\u0435\u0435 \u0441 \u0432\u0430\u043c\u0438 \u0443\u0437\u043d\u0430\u043b\u0438, \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442\u00a0\u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e-\u0442\u0430\u043a\u0438 \u0431\u043e\u043b\u044c\u0448\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u043c\u0435\u0442\u043e\u0434\u043e\u0432 \u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432, \u043d\u043e, \u043d\u0435\u0441\u043c\u043e\u0442\u0440\u044f \u043d\u0430 \u044d\u0442\u043e, \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u0434\u0435\u043b\u0438\u0442\u044c \u0434\u0432\u0435 \u0431\u043e\u043b\u044c\u0448\u0438\u0435 \u043f\u043e\u0434\u0433\u0440\u0443\u043f\u043f\u044b:<\/p>\n<ul>\n<li>\n<p>\u0412\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b (\u0443\u0436\u0435 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0435 \u0432 \u041e\u0421 Windows, \u044d\u0442\u043e \u043c\u043e\u0433\u0443\u0442 \u0431\u044b\u0442\u044c \u0432\u043f\u043e\u043b\u043d\u0435 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b \u0438 \u0442\u0443\u043b\u0437\u044b);<\/p>\n<\/li>\n<li>\n<p>\u041a\u0430\u0441\u0442\u043e\u043c\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u043e\u0432.<\/p>\n<\/li>\n<\/ul>\n<p>\u0411\u0435\u0433\u043b\u043e \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043f\u0440\u0438\u043c\u0435\u0440\u044b \u0442\u0430\u043a\u0438\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0438\u0437 \u043e\u0431\u0435\u0438\u0445 \u043f\u043e\u0434\u0433\u0440\u0443\u043f\u043f \u0431\u0435\u0437 \u0434\u0435\u0442\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0440\u0430\u0437\u0431\u043e\u0440\u0430 \u0430\u0442\u0430\u043a\u0438 \u0441 \u0438\u0445 \u043f\u043e\u043c\u043e\u0449\u044c\u044e.<\/p>\n<figure class=\"\"><figcaption><\/figcaption><\/figure>\n<p><strong>The Windows Task Manager<\/strong> (taskmgr.exe) \u2014\u00a0\u0434\u0438\u0441\u043f\u0435\u0442\u0447\u0435\u0440 \u0437\u0430\u0434\u0430\u0447 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0438\u0442\u044c \u0434\u0430\u043c\u043f \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430, \u0435\u0441\u043b\u0438 \u043e\u043d \u0437\u0430\u043f\u0443\u0449\u0435\u043d \u0432 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c \u0440\u0435\u0436\u0438\u043c\u0435. \u0414\u0435\u0439\u0441\u0442\u0432\u0438\u0435 \u0437\u0430\u043a\u043b\u044e\u0447\u0430\u0435\u0442\u0441\u044f \u0432 \u043f\u0440\u043e\u0441\u0442\u043e\u043c \u0449\u0435\u043b\u0447\u043a\u0435 \u043f\u0440\u0430\u0432\u043e\u0439 \u043a\u043d\u043e\u043f\u043a\u043e\u0439 \u043c\u044b\u0448\u0438 \u043f\u043e \u043d\u0443\u0436\u043d\u043e\u043c\u0443 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0443 \u0438 \u0432\u044b\u0431\u043e\u0440\u0443 \u043f\u0443\u043d\u043a\u0442\u0430 \u043c\u0435\u043d\u044e \u00ab\u0421\u043e\u0437\u0434\u0430\u0442\u044c \u0444\u0430\u0439\u043b \u0434\u0430\u043c\u043f\u0430\u00bb.<\/p>\n<figure class=\"\"><figcaption><\/figcaption><\/figure>\n<p><strong>Windows DLL Host<\/strong> (rundll32.exe) \u2014 rundll \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u0443\u044e \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0443 Windows\u00a0comsvcs.dll, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0438\u0440\u0443\u0435\u0442 \u0444\u0443\u043d\u043a\u0446\u0438\u044e, \u043d\u0430\u0437\u044b\u0432\u0430\u0435\u043c\u0443\u044e\u00a0MiniDump. \u041f\u0440\u0438 \u0432\u044b\u0437\u043e\u0432\u0435 \u0434\u0430\u043d\u043d\u043e\u0439 \u0444\u0443\u043d\u043a\u0446\u0438\u0438, \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a \u043c\u043e\u0436\u0435\u0442 \u043f\u043e\u0434\u0430\u0442\u044c \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430 PID \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 LSASS \u0438 \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u0435\u0433\u043e \u0434\u0430\u043c\u043f \u043f\u0430\u043c\u044f\u0442\u0438. <\/p>\n<p>\u041f\u0440\u0435\u0441\u0442\u0443\u043f\u043d\u0438\u043a\u0438 \u0447\u0430\u0441\u0442\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442 \u0441\u0442\u043e\u0440\u043e\u043d\u043d\u0438\u0435 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u044b \u0434\u0432\u043e\u0439\u043d\u043e\u0433\u043e \u043d\u0430\u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430 \u043e\u0442 Sysinternals: <strong>Procdump, Process Explorer<\/strong>.<\/p>\n<p>\u041a \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u043c, \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u0437\u043b\u043e\u0443\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u0438\u043a\u0430\u043c\u0438, \u043c\u043e\u0436\u043d\u043e \u043e\u0442\u043d\u0435\u0441\u0442\u0438:<\/p>\n<ul>\n<li>\n<p>Mimikatz<\/p>\n<\/li>\n<li>\n<p>Cobalt Strike<\/p>\n<\/li>\n<li>\n<p>Impacket<\/p>\n<\/li>\n<li>\n<p>Metasploit<\/p>\n<\/li>\n<li>\n<p>PowerSploit<\/p>\n<\/li>\n<li>\n<p>Empire<\/p>\n<\/li>\n<li>\n<p>Pwdump<\/p>\n<\/li>\n<li>\n<p>Dumpert<\/p>\n<\/li>\n<li>\n<p>Lazagne<\/p>\n<\/li>\n<li>\n<p>nanodump<\/p>\n<\/li>\n<\/ul>\n<p>\u041d\u0430 \u0434\u0430\u043d\u043d\u043e\u043c \u044d\u0442\u0430\u043f\u0435 \u043d\u0435 \u0431\u0443\u0434\u0435\u043c \u0443\u0433\u043b\u0443\u0431\u043b\u044f\u0442\u044c\u0441\u044f, \u043a\u0430\u043a \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043a\u0430\u0436\u0434\u044b\u0439 \u0438\u0437 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0438\u043b\u0438 \u043a\u0430\u043a\u0443\u044e \u0442\u0435\u0445\u043d\u0438\u043a\u0443 \u043e\u043d \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442. \u0412 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u043c \u043f\u0440\u0438 \u043e\u0431\u0437\u043e\u0440\u0435 \u0434\u0435\u0442\u0435\u043a\u0442\u043e\u0432, \u0435\u0441\u043b\u0438 \u043e\u043d\u0438 \u0431\u0443\u0434\u0443\u0442 \u0431\u0430\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u043d\u0430 \u0442\u043e\u0439 \u0438\u043b\u0438 \u0438\u043d\u043e\u0439 \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u0438, \u0442\u043e \u043f\u043e\u0441\u0442\u0430\u0440\u0430\u0435\u043c\u0441\u044f \u0440\u0430\u0437\u043e\u0431\u0440\u0430\u0442\u044c\u0441\u044f \u0438 \u0432 \u043d\u0435\u0439.\u00a0<\/p>\n<h3>\u0418\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0438 \u0441\u043e\u0431\u044b\u0442\u0438\u0439<\/h3>\n<p>\u041e\u0441\u043d\u043e\u0432\u043d\u044b\u043c \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u043e\u043c \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043c\u043e\u0436\u0435\u0442 \u0441\u043b\u0443\u0436\u0438\u0442\u044c \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u0438\u0439 EDR, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0438\u0439 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0442\u044c \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432, \u0438\u0445 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u044b\u0435 \u0441\u0442\u0440\u043e\u043a\u0438, \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430\u043c, \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u043e\u0432. \u0418\u043b\u0438 \u043e\u0442\u043a\u0440\u044b\u0442\u044b\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u044f, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a Sysmon. \u041d\u0443 \u0438, \u043a\u043e\u043d\u0435\u0447\u043d\u043e, \u0436\u0443\u0440\u043d\u0430\u043b Security \u041e\u0421 Windows \u0434\u043b\u044f \u0443\u0437\u043a\u043e\u0433\u043e \u043a\u0440\u0443\u0433\u0430 \u0434\u0435\u0442\u0435\u043a\u0442\u043e\u0432. <\/p>\n<p>\u041d\u0438\u0436\u0435 \u043f\u0440\u0438\u0432\u0435\u0434\u0443 \u043f\u0440\u0438\u043c\u0435\u0440 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 Sysmon \u0434\u043b\u044f \u0434\u0435\u0442\u0435\u043a\u0442\u043e\u0432, \u0440\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0435\u043c\u044b\u0445 \u0432 \u0434\u0430\u043d\u043d\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435<\/p>\n<pre><code class=\"xml\">&lt;!-- Event ID 7 == ImageLoad. --> &lt;ImageLoad onmatch=\"include\">     &lt;Rule groupRelation=\"and\">         &lt;Image condition=\"end with\">\\lsass.exe&lt;\/Image>         &lt;Signed condition=\"is\">false&lt;\/Signed>     &lt;\/Rule>     &lt;Rule name=\"Suspicious dbghelp, dbgcore load\" groupRelation=\"and\">         &lt;ImageLoaded condition=\"contains\">\\dbghelp.dll&lt;\/ImageLoaded> &lt;ImageLoaded condition=\"contains\">\\dbgcore.dll&lt;\/ImageLoaded> &lt;Image condition=\"end with\">\\msbuild.exe&lt;\/Image> &lt;Image condition=\"end with\">\\cmd.exe&lt;\/Image> &lt;Image condition=\"end with\">\\rundll32.exe&lt;\/Image> &lt;Image condition=\"end with\">\\powershell.exe&lt;\/Image> &lt;Image condition=\"end with\">\\word.exe&lt;\/Image> &lt;Image condition=\"end with\">\\excel.exe&lt;\/Image> &lt;Image condition=\"end with\">\\powerpnt.exe&lt;\/Image> &lt;Image condition=\"end with\">\\outlook.exe&lt;\/Image> &lt;Image condition=\"end with\">\\monitoringhost.exe&lt;\/Image> &lt;Image condition=\"end with\">\\wmic.exe&lt;\/Image> &lt;Image condition=\"end with\">\\bash.exe&lt;\/Image> &lt;Image condition=\"end with\">\\wscript.exe&lt;\/Image> &lt;Image condition=\"end with\">\\cscript.exe&lt;\/Image> &lt;Image condition=\"end with\">\\mshta.exe&lt;\/Image> &lt;Image condition=\"end with\">\\regsvr32.exe&lt;\/Image> &lt;Image condition=\"end with\">\\schtasks.exe&lt;\/Image> &lt;Image condition=\"end with\">\\dnx.exe&lt;\/Image> &lt;Image condition=\"end with\">\\regsvcs.exe&lt;\/Image> &lt;Image condition=\"end with\">\\sc.exe&lt;\/Image> &lt;Image condition=\"end with\">\\scriptrunner.exe&lt;\/Image>     &lt;\/Rule> &lt;\/ImageLoad> &lt;!-- Event ID 8 == CreateRemoteThread. --> &lt;CreateRemoteThread onmatch=\"include\"> &lt;Rule groupRelation=\"and\"> &lt;TargetImage condition=\"is\">c:\\windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;\/Rule> &lt;\/CreateRemoteThread> &lt;!-- Event ID 10 == ProcessAccess. --> &lt;ProcessAccess onmatch=\"include\"> &lt;CallTrace name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"contains\">dbghelp.dll&lt;\/CallTrace> &lt;CallTrace name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"contains\">dbgcore.dll&lt;\/CallTrace> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x1FFFFF&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x1F1FFF&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x1010&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x143A&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x1438&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x40&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x1418&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x1410&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x1010&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x13fff&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;GrantedAccess>0x705&lt;\/GrantedAccess> &lt;\/Rule> &lt;Rule groupRelation=\"and\"> &lt;TargetImage name=\"technique_id=T1003,technique_name=Credential Dumping WinRM Mimikatz\" condition=\"is\">C:\\Windows\\system32\\lsass.exe&lt;\/TargetImage> &lt;SourceImage>C:\\Windows\\system32\\wsmprovhost.exe&lt;\/SourceImage> &lt;\/Rule> &lt;\/ProcessAccess> &lt;!-- Event ID 11 == FileCreate. --> &lt;FileCreate onmatch=\"include\"> &lt;TargetFilename condition=\"end with\">.dmp&lt;\/TargetFilename> &lt;TargetFilename condition=\"contains\">lsass&lt;\/TargetFilename> &lt;\/FileCreate> &lt;\/RuleGroup> &lt;!-- Event ID 12,13,14 == RegObject added\/deleted, RegValue Set, RegObject Renamed. --> &lt;RegistryEvent onmatch=\"include\" &lt;TargetObject condition=\"contains\">\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\Security Packages&lt;\/TargetObject> &lt;TargetObject condition=\"contains\">\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\OSConfig\\Security Packages&lt;\/TargetObject> &lt;\/RegistryEvent> &lt;\/RuleGroup> <\/code><\/pre>\n<p>\u0420\u0430\u0437 \u0443\u0436\u0435 \u043a\u043e\u0441\u043d\u0443\u043b\u0438\u0441\u044c \u0442\u0435\u043c\u044b Sysmon, \u0442\u043e \u043d\u0430\u0447\u043d\u0435\u043c \u0441 \u043d\u0435\u0433\u043e.<\/p>\n<p>\u0421\u0430\u043c\u0438 \u0434\u0435\u0442\u0435\u043a\u0442\u044b \u043e\u043f\u0438\u0441\u0430\u043d\u044b \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u0438\u043d\u0442\u0430\u043a\u0441\u0438\u0441\u0430 \u043f\u0440\u043e\u0435\u043a\u0442\u0430 Sigma, \u043f\u043e\u00a0<a href=\"https:\/\/github.com\/SigmaHQ\/sigma\/wiki\/Specification\">\u0441\u0441\u044b\u043b\u043a\u0435<\/a>\u00a0\u043c\u043e\u0436\u043d\u043e \u0441 \u043d\u0438\u043c \u043e\u0437\u043d\u0430\u043a\u043e\u043c\u0438\u0442\u044c\u0441\u044f.<\/p>\n<p><strong>\u0421\u043e\u0437\u0434\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 (Sysmon<\/strong><a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/downloads\/sysmon#event-id-1-process-creation\"><strong>\u00a0EventID 1<\/strong><\/a><strong>\u00a0\u0438\u043b\u0438 Windows Se\u0441urity\u00a0<\/strong><a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/security\/threat-protection\/auditing\/event-4688\"><strong>EventID 4688<\/strong><\/a><strong>)<\/strong><\/p>\n<p>\u0415\u0441\u0442\u044c \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0441\u0446\u0435\u043d\u0430\u0440\u0438\u0435\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432 \u0432 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0438\u0438 \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0441\u0442\u0438 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 LSASS \u0438\u043b\u0438 \u043d\u0430\u0434 \u043d\u0438\u043c.<\/p>\n<p>\u041f\u0440\u043e\u0446\u0435\u0441\u0441 LSASS \u0440\u0435\u0434\u043a\u043e \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0434\u043e\u0447\u0435\u0440\u043d\u0438\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b \u0432 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0445 \u0446\u0435\u043b\u044f\u0445. \u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u044f \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432, \u0433\u0434\u0435 \u0440\u043e\u0434\u0438\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u043c \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f LSASS, \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u044f\u0432\u0438\u0442\u044c \u0442\u0435\u0445\u043d\u0438\u043a\u0443 \u0437\u0430\u043a\u0440\u0435\u043f\u043b\u0435\u043d\u0438\u044f \u0447\u0435\u0440\u0435\u0437\u00a0\u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 LSA Password Filters, Security Packages \u0438\u043b\u0438 Authentication Packages:<\/p>\n<pre><code class=\"yaml\">logsource:     category: process_create     product: sysmon detection:     selection:         ParentImage: 'C:\\Windows\\System32\\lsass.exe'         TerminalSessionId: '0'         winlog.event_data.User: - 'NT AUTHORITY\/SYSTEM' - 'NT AUTHORITY\/\u0421\u0418\u0421\u0422\u0415\u041c\u0410'     condition: selection tags:     - attack.t1068     - attack.t1003.001     - attack t1547.002      - attack t1547.005     - attack t1547.008     - attack t1556.002<\/code><\/pre>\n<p>\u0414\u0440\u0443\u0433\u043e\u0439 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u0439 \u0432\u0430\u0440\u0438\u0430\u043d\u0442 \u2014 \u0430\u043d\u0430\u043b\u0438\u0437 \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u044b\u0445 \u0441\u0442\u0440\u043e\u043a \u043f\u0440\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432. \u042d\u0442\u043e \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0432\u044b\u044f\u0432\u043b\u044f\u0442\u044c \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u043d\u044b\u0435 \u043a\u043b\u044e\u0447\u0438 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c (Mimikatz, Pypykatz, CQTools,\u00a0comsvcs.dll \u0438 rundll32 \u0438 \u0442.\u0434.)<\/p>\n<p>\u041f\u0440\u0438\u043c\u0435\u0440 \u0434\u0435\u0442\u0435\u043a\u0442\u0430 \u0434\u043b\u044f Pypykatz \u043f\u043e \u043a\u043b\u044e\u0447\u0435\u0432\u044b\u043c \u0441\u043b\u043e\u0432\u0430\u043c:\u00a0 \u00a0<\/p>\n<pre><code class=\"yaml\">logsource:     category: process_create     product: sysmon detection:     selection_common:         CommandLine|contains: 'pypykatz'         CommandLine|contains: ' dcc2 -i'         CommandLine|contains: ' gppass '     selection_live:         CommandLine|contains: ' live '         CommandLine|contains:             - ' lsa'             - ' registry'             - ' kerberos'             - ' share'             - ' session'             - ' localgroup'             - ' dpapi'             - ' ldap'             - ' smb'             - ' process'             - ' token'             - ' users'     selection_lsa:<\/code><\/pre>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-336306","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/336306","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=336306"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/336306\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=336306"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=336306"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=336306"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}