OS Credential Dumping: LSASS Memory
Ver en attack.mitre.org →8 syscalls implementan esta técnica
- NtReadVirtualMemory
Lee bytes del espacio de direcciones virtuales de un proceso objetivo hacia un búfer del invocador.
- NtOpenProcess
Abre un handle a un proceso existente con una máscara de acceso solicitada.
- NtSuspendThread
Incrementa el contador de suspensión de un hilo objetivo, deteniendo su ejecución.
- NtCreateToken
Forja un token de acceso desde cero con usuario, grupos, privilegios, owner, DACL por defecto y origen elegidos — protegido por SeCreateTokenPrivilege.
- NtQuerySystemInformation
Recupera una clase de información a nivel sistema — lista de procesos, tabla de handles del kernel, lista de drivers cargados, estado de integridad de código, y más.
- NtReadFile
Lee bytes desde un archivo, dispositivo, canal con nombre o sección mapeada hacia un búfer de usuario — primitiva del kernel detrás de ReadFile.
- NtDuplicateObject
Duplica un handle desde un proceso origen a un proceso destino, ajustando opcionalmente el acceso o cerrando el origen.
- NtQueryObject
Devuelve metadatos sobre un handle de objeto del kernel: información básica, nombre, tipo o tabla de tipos del sistema.