#lsass — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #lsass, aggregated by home.social.
-
What is LSASS Memory Dumping Techniques: A Comprehensive Guide
In this article, I cover common LSASS dumping techniques, detection methods, and practical mitigation strategies.
🔗 https://denizhalil.com/2026/05/08/lsass-memory-dumping-techniques-guide/ -
What is LSASS Memory Dumping Techniques: A Comprehensive Guide
In this article, I cover common LSASS dumping techniques, detection methods, and practical mitigation strategies.
🔗 https://denizhalil.com/2026/05/08/lsass-memory-dumping-techniques-guide/ -
https://www.europesays.com/be-nl/47806/ Noodupdate Windows Server na rebootproblemen #BE #België #Belgium #domeincontroller #kb5082063 #LSASS #Microsoft #PatchTuesday #Science #ScienceAndTechnology #ScienceAndTechnology #Technologie #Technology #Wetenschap #WetenschapEnTechnologie #WetenschapTechnologie #WindowsServer
-
Хакни себя сам и не дай другим: как увидеть свою инфраструктуру глазами хакера
Всем привет! На связи Дмитрий Федосов, руководитель отдела наступательной безопасности экспертного центра безопасности (PT ESC) Positive Technologies, и Владислав Дриев, ведущий специалист нашего подразделения. Мы развиваем технологии автопентеста в рамках продукта PT Dephaze. Сегодня хотим наглядно показать, как автоматизированный взлом собственной инфраструктуры помогает выявлять реальные векторы атак, которыми злоумышленники могут воспользоваться в любую минуту. С момента запуска PT Dephaze наша команда провела более 60 «пилотов» в организациях России и не только. Мы проанализировали этот опыт, собрали обратную связь от клиентов и улучшили технологии. В этой статье предлагаем вместе погрузиться в процесс использования нашей системы автопентеста на основании опыта наших пользователей. Разберем результаты и варианты их использования в защите.
https://habr.com/ru/companies/pt/articles/1023256/
#автопентест #pt_dephaze #active_directory #aev #goad #csv #lsass #dcsync #esc4 #epp
-
Хакни себя сам и не дай другим: как увидеть свою инфраструктуру глазами хакера
Всем привет! На связи Дмитрий Федосов, руководитель отдела наступательной безопасности экспертного центра безопасности (PT ESC) Positive Technologies, и Владислав Дриев, ведущий специалист нашего подразделения. Мы развиваем технологии автопентеста в рамках продукта PT Dephaze. Сегодня хотим наглядно показать, как автоматизированный взлом собственной инфраструктуры помогает выявлять реальные векторы атак, которыми злоумышленники могут воспользоваться в любую минуту. С момента запуска PT Dephaze наша команда провела более 60 «пилотов» в организациях России и не только. Мы проанализировали этот опыт, собрали обратную связь от клиентов и улучшили технологии. В этой статье предлагаем вместе погрузиться в процесс использования нашей системы автопентеста на основании опыта наших пользователей. Разберем результаты и варианты их использования в защите.
https://habr.com/ru/companies/pt/articles/1023256/
#автопентест #pt_dephaze #active_directory #aev #goad #csv #lsass #dcsync #esc4 #epp
-
Хакни себя сам и не дай другим: как увидеть свою инфраструктуру глазами хакера
Всем привет! На связи Дмитрий Федосов, руководитель отдела наступательной безопасности экспертного центра безопасности (PT ESC) Positive Technologies, и Владислав Дриев, ведущий специалист нашего подразделения. Мы развиваем технологии автопентеста в рамках продукта PT Dephaze. Сегодня хотим наглядно показать, как автоматизированный взлом собственной инфраструктуры помогает выявлять реальные векторы атак, которыми злоумышленники могут воспользоваться в любую минуту. С момента запуска PT Dephaze наша команда провела более 60 «пилотов» в организациях России и не только. Мы проанализировали этот опыт, собрали обратную связь от клиентов и улучшили технологии. В этой статье предлагаем вместе погрузиться в процесс использования нашей системы автопентеста на основании опыта наших пользователей. Разберем результаты и варианты их использования в защите.
https://habr.com/ru/companies/pt/articles/1023256/
#автопентест #pt_dephaze #active_directory #aev #goad #csv #lsass #dcsync #esc4 #epp
-
Хакни себя сам и не дай другим: как увидеть свою инфраструктуру глазами хакера
Всем привет! На связи Дмитрий Федосов, руководитель отдела наступательной безопасности экспертного центра безопасности (PT ESC) Positive Technologies, и Владислав Дриев, ведущий специалист нашего подразделения. Мы развиваем технологии автопентеста в рамках продукта PT Dephaze. Сегодня хотим наглядно показать, как автоматизированный взлом собственной инфраструктуры помогает выявлять реальные векторы атак, которыми злоумышленники могут воспользоваться в любую минуту. С момента запуска PT Dephaze наша команда провела более 60 «пилотов» в организациях России и не только. Мы проанализировали этот опыт, собрали обратную связь от клиентов и улучшили технологии. В этой статье предлагаем вместе погрузиться в процесс использования нашей системы автопентеста на основании опыта наших пользователей. Разберем результаты и варианты их использования в защите.
https://habr.com/ru/companies/pt/articles/1023256/
#автопентест #pt_dephaze #active_directory #aev #goad #csv #lsass #dcsync #esc4 #epp
-
Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче
Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности : клиент Windows Server 2025 уже требует подпись SMB-пакетов . Всё, что не умеет — идёт мимо кассы. В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения. Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет . Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт .
https://habr.com/ru/articles/948976/
#windows_server_2025 #active_directory #SMB_signing #LDAP_signing #kerberos #ntlm #AD_CS #laps #credential_guard #lsass
-
Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче
Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности : клиент Windows Server 2025 уже требует подпись SMB-пакетов . Всё, что не умеет — идёт мимо кассы. В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения. Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет . Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт .
https://habr.com/ru/articles/948976/
#windows_server_2025 #active_directory #SMB_signing #LDAP_signing #kerberos #ntlm #AD_CS #laps #credential_guard #lsass
-
Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче
Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности : клиент Windows Server 2025 уже требует подпись SMB-пакетов . Всё, что не умеет — идёт мимо кассы. В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения. Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет . Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт .
https://habr.com/ru/articles/948976/
#windows_server_2025 #active_directory #SMB_signing #LDAP_signing #kerberos #ntlm #AD_CS #laps #credential_guard #lsass
-
Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче
Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности : клиент Windows Server 2025 уже требует подпись SMB-пакетов . Всё, что не умеет — идёт мимо кассы. В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения. Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет . Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт .
https://habr.com/ru/articles/948976/
#windows_server_2025 #active_directory #SMB_signing #LDAP_signing #kerberos #ntlm #AD_CS #laps #credential_guard #lsass
-
Защита процесса lsass от credential dumping
Процесс lsass.exe (Local Security Authority Subsystem Service) — критически важный компонент ОС Windows. Он отвечает за аутентификацию пользователей и управление учетными данными. В его памяти хранятся хэши паролей NTLM, билеты Kerberos, данные сессий, а в некоторых конфигурациях — даже пароли в открытом виде, если используется устаревший протокол WDigest. Столь высокая концентрация секретов делает lsass.exe лакомой целью для злоумышленников, получивших доступ к системе. После Initial Access фазы атакующий будет стремиться повысить привилегии и двигаться дальше по сети. Дамп памяти lsass.exe — самый прямой и часто самый простой способ достичь этих целей, поскольку при отсутствии защиты атакующий очень легко извлекает оттуда данные для проведения атак Pass-the-hash и Pass-the-ticket. В то же время, для атаки на незащищенный lsass.exe, нужно сравнительно немного: права локального администратора и Mimikatz. Таким образом, защиту этого процесса, по моему мнению, нужно внести в базовый набор мероприятий для любой инфраструктуры с Windows-машинами. Существуют различные методы получения дампа lsass.exe. В материале мы рассмотрим как тривиальные, так и более изощренные, но не с позиции атакующего. Поскольку основная часть материала будет посвящена методам защиты lsass от извлечения данных, знакомство с различными способами атаки будет играть вспомогательную роль для лучшего понимания механики защитных мер.
-
#Windows #UnderAttack: #0day #vulnerability used by #ransomware group
#0DayVulnerability #ZeroDay #ZeroDayVulnerability #Windows10 #Windows11 #WindowsServer #WindowsServer2025 #CVE202529824 #CVE_2025_29824 #CommonLogFileSystem #CLFS #Storm2460 #Storm_2460 #RansomEXX #MSBuild #PipeMagic #LSASS #LSASSMemory
-
#Windows #UnderAttack: #0day #vulnerability used by #ransomware group
#0DayVulnerability #ZeroDay #ZeroDayVulnerability #Windows10 #Windows11 #WindowsServer #WindowsServer2025 #CVE202529824 #CVE_2025_29824 #CommonLogFileSystem #CLFS #Storm2460 #Storm_2460 #RansomEXX #MSBuild #PipeMagic #LSASS #LSASSMemory
-
#Windows #UnderAttack: #0day #vulnerability used by #ransomware group
#0DayVulnerability #ZeroDay #ZeroDayVulnerability #Windows10 #Windows11 #WindowsServer #WindowsServer2025 #CVE202529824 #CVE_2025_29824 #CommonLogFileSystem #CLFS #Storm2460 #Storm_2460 #RansomEXX #MSBuild #PipeMagic #LSASS #LSASSMemory
-
#Windows #UnderAttack: #0day #vulnerability used by #ransomware group
#0DayVulnerability #ZeroDay #ZeroDayVulnerability #Windows10 #Windows11 #WindowsServer #WindowsServer2025 #CVE202529824 #CVE_2025_29824 #CommonLogFileSystem #CLFS #Storm2460 #Storm_2460 #RansomEXX #MSBuild #PipeMagic #LSASS #LSASSMemory
-
Windows Downdate – atak na w pełni „zaktualizowany” system eksploitami sprzed lat
Ukazał się raport opisujący nową technikę ataku na systemy Windows zwaną „Windows Downdate”: Aktualizacje są jednym z kluczowych procesów pozwalających na zapewnienie bezpieczeństwa wykorzystywanych systemów. Kolejne poprawki mają na celu między innymi usunięcie podatności wykrytych od czasu wydania poprzedniej aktualizacji. Chociaż systemy operacyjne wciąż mają wiele do nadrobienia, to ich...
#Aktualności #WBiegu #Blackhat #Exploit #Lsass #Patch #Update #Upgrade #Windows
https://sekurak.pl/windows-downdate-atak-na-w-pelni-zaktualizowany-system-eksploitami-sprzed-lat/
-
Охота за кредами
Существуют различные способы аутентификации в системах Windows, каждый из этих способов сохраняет или кэширует переданные учетные данные. В этом модуле мы рассмотрим основные типы аутентификации и места кэширования переданных данных, а также разберем, как можно получить к ним доступ.
https://habr.com/ru/articles/806831/
#CredentialAccess #SAM #LSA #lsass #NTDSDIT #mimikatz #windows #active_directory #redteam #pentest
-
Охота за кредами
Существуют различные способы аутентификации в системах Windows, каждый из этих способов сохраняет или кэширует переданные учетные данные. В этом модуле мы рассмотрим основные типы аутентификации и места кэширования переданных данных, а также разберем, как можно получить к ним доступ.
https://habr.com/ru/articles/806831/
#CredentialAccess #SAM #LSA #lsass #NTDSDIT #mimikatz #windows #active_directory #redteam #pentest
-
Охота за кредами
Существуют различные способы аутентификации в системах Windows, каждый из этих способов сохраняет или кэширует переданные учетные данные. В этом модуле мы рассмотрим основные типы аутентификации и места кэширования переданных данных, а также разберем, как можно получить к ним доступ.
https://habr.com/ru/articles/806831/
#CredentialAccess #SAM #LSA #lsass #NTDSDIT #mimikatz #windows #active_directory #redteam #pentest
-
“Bypassing windows defender and ppl protection with pplblade to dump lsass without detection” #lsass #redteam #offensivesecurity #cybersecurity #informationsecurity
https://tacticaladversary.io/adversary-tactics/bypass-defender-and-ppl-protection-to-dump-lsass/
-
Good day everyone! The Microsoft Threat Intelligence team has discovered activity from a group known as #FlaxTyphoon. They are a nation-state group from China that targeted organizations in Taiwan. While the group leverages tools that are commonly used, like #ChinaChopper, #MetaSploit, and #Mimikatz, they also rely on abusing #LOLBINS, or Living-off-the-land binaries and scripts (tools that exist and come with the native operating system). Some of their TTPs include using registry key modification for persistence, using #powershell, #certutil, or #bitsadmin to download tools, and accessing #LSASS process memory and Security Account Manager registry hive for credential access. This is a great article that not only provides high-level details but it provides a starting point for any organization to start threat hunting by using the technical details provided! Enjoy your weekend and #HappyHunting!
#CyberSecurity #ITSecurity #InfoSec #BlueTeam #ThreatIntel #ThreatHunting #ThreatDetection #readoftheday
-
Good day everyone! The Microsoft Threat Intelligence team has discovered activity from a group known as #FlaxTyphoon. They are a nation-state group from China that targeted organizations in Taiwan. While the group leverages tools that are commonly used, like #ChinaChopper, #MetaSploit, and #Mimikatz, they also rely on abusing #LOLBINS, or Living-off-the-land binaries and scripts (tools that exist and come with the native operating system). Some of their TTPs include using registry key modification for persistence, using #powershell, #certutil, or #bitsadmin to download tools, and accessing #LSASS process memory and Security Account Manager registry hive for credential access. This is a great article that not only provides high-level details but it provides a starting point for any organization to start threat hunting by using the technical details provided! Enjoy your weekend and #HappyHunting!
#CyberSecurity #ITSecurity #InfoSec #BlueTeam #ThreatIntel #ThreatHunting #ThreatDetection #readoftheday
-
Good day everyone! The Microsoft Threat Intelligence team has discovered activity from a group known as #FlaxTyphoon. They are a nation-state group from China that targeted organizations in Taiwan. While the group leverages tools that are commonly used, like #ChinaChopper, #MetaSploit, and #Mimikatz, they also rely on abusing #LOLBINS, or Living-off-the-land binaries and scripts (tools that exist and come with the native operating system). Some of their TTPs include using registry key modification for persistence, using #powershell, #certutil, or #bitsadmin to download tools, and accessing #LSASS process memory and Security Account Manager registry hive for credential access. This is a great article that not only provides high-level details but it provides a starting point for any organization to start threat hunting by using the technical details provided! Enjoy your weekend and #HappyHunting!
#CyberSecurity #ITSecurity #InfoSec #BlueTeam #ThreatIntel #ThreatHunting #ThreatDetection #readoftheday
-
Good day everyone! The Microsoft Threat Intelligence team has discovered activity from a group known as #FlaxTyphoon. They are a nation-state group from China that targeted organizations in Taiwan. While the group leverages tools that are commonly used, like #ChinaChopper, #MetaSploit, and #Mimikatz, they also rely on abusing #LOLBINS, or Living-off-the-land binaries and scripts (tools that exist and come with the native operating system). Some of their TTPs include using registry key modification for persistence, using #powershell, #certutil, or #bitsadmin to download tools, and accessing #LSASS process memory and Security Account Manager registry hive for credential access. This is a great article that not only provides high-level details but it provides a starting point for any organization to start threat hunting by using the technical details provided! Enjoy your weekend and #HappyHunting!
#CyberSecurity #ITSecurity #InfoSec #BlueTeam #ThreatIntel #ThreatHunting #ThreatDetection #readoftheday
-
Good day everyone! The Microsoft Threat Intelligence team has discovered activity from a group known as #FlaxTyphoon. They are a nation-state group from China that targeted organizations in Taiwan. While the group leverages tools that are commonly used, like #ChinaChopper, #MetaSploit, and #Mimikatz, they also rely on abusing #LOLBINS, or Living-off-the-land binaries and scripts (tools that exist and come with the native operating system). Some of their TTPs include using registry key modification for persistence, using #powershell, #certutil, or #bitsadmin to download tools, and accessing #LSASS process memory and Security Account Manager registry hive for credential access. This is a great article that not only provides high-level details but it provides a starting point for any organization to start threat hunting by using the technical details provided! Enjoy your weekend and #HappyHunting!
#CyberSecurity #ITSecurity #InfoSec #BlueTeam #ThreatIntel #ThreatHunting #ThreatDetection #readoftheday
-
"Injecting pc.dll into LSASS as a Security Package. Security Packages are used to extend the Windows authentication mechanism and can be abused to execute malicious code in the context of LSASS" - I was today years old when I learned this!
https://www.sentinelone.com/labs/operation-tainted-love-chinese-apts-target-telcos-in-new-attacks/
-
"Injecting pc.dll into LSASS as a Security Package. Security Packages are used to extend the Windows authentication mechanism and can be abused to execute malicious code in the context of LSASS" - I was today years old when I learned this!
https://www.sentinelone.com/labs/operation-tainted-love-chinese-apts-target-telcos-in-new-attacks/
-
"Injecting pc.dll into LSASS as a Security Package. Security Packages are used to extend the Windows authentication mechanism and can be abused to execute malicious code in the context of LSASS" - I was today years old when I learned this!
https://www.sentinelone.com/labs/operation-tainted-love-chinese-apts-target-telcos-in-new-attacks/
-
"Injecting pc.dll into LSASS as a Security Package. Security Packages are used to extend the Windows authentication mechanism and can be abused to execute malicious code in the context of LSASS" - I was today years old when I learned this!
https://www.sentinelone.com/labs/operation-tainted-love-chinese-apts-target-telcos-in-new-attacks/
-
"Injecting pc.dll into LSASS as a Security Package. Security Packages are used to extend the Windows authentication mechanism and can be abused to execute malicious code in the context of LSASS" - I was today years old when I learned this!
https://www.sentinelone.com/labs/operation-tainted-love-chinese-apts-target-telcos-in-new-attacks/
-
“New PostDump version include C# / .NET implementation of the famous NanoDump's NanoDumpWriteDump function, which permit to dump most important #Lsass modules only” #redteam #offensivesecurity #cybersecurity #infosec
https://github.com/post-cyberlabs/Offensive_tools/tree/main/PostDump -
"AWS announces Credential Guard support for Windows instances on Amazon EC2"
Protect those #LSASS secrets!
An OS like #Windows has a hard time doing it without #virtualization based security, provided by a #hypervisor like the one found in the #NitroSystem.
-
"AWS announces Credential Guard support for Windows instances on Amazon EC2"
Protect those #LSASS secrets!
An OS like #Windows has a hard time doing it without #virtualization based security, provided by a #hypervisor like the one found in the #NitroSystem.
-
"AWS announces Credential Guard support for Windows instances on Amazon EC2"
Protect those #LSASS secrets!
An OS like #Windows has a hard time doing it without #virtualization based security, provided by a #hypervisor like the one found in the #NitroSystem.
-
"AWS announces Credential Guard support for Windows instances on Amazon EC2"
Protect those #LSASS secrets!
An OS like #Windows has a hard time doing it without #virtualization based security, provided by a #hypervisor like the one found in the #NitroSystem.
-
"AWS announces Credential Guard support for Windows instances on Amazon EC2"
Protect those #LSASS secrets!
An OS like #Windows has a hard time doing it without #virtualization based security, provided by a #hypervisor like the one found in the #NitroSystem.
-
Some serious work from folks at Elastic Security: “Silhouette is a POC that mitigates the use of physical memory to dump credentials from #Lsass.” #cybersecurity #infosec #redteam #blueteam
https://github.com/elastic/Silhouette -
“It is yet another simple tool to perform a #Lsass memory dump using few technics to avoid #detection. “
#cybersecurity #redteam #offensivesecurity #infosechttps://github.com/post-cyberlabs/Offensive_tools/tree/main/PostDump
-
November patch Tuesday causes #Lsass memory leaks and forces reboot 👀