LSASS

LSASS(Local Security Authority Subsystem Service)는 Windows 운영체제라면 기본적으로 존재하는 Microsoft에서 제공하는 서비스이며 이것을 통해 메모리를 덤핑하기 위해선 관리자 권한이 필요합니다. 사용자가 컴퓨터에 로그인을 성공하면 자격증명이 생성되고, 이는 메모리의 LSASS에 저장됩니다. 때문에 LSASS 메모리 덤프에 성공한다면 로그인에 성공했던 모든 사용자들의 NT Hash 정보를 가져올 수 있게 되고, 이것은 곧 권한 상승을 가능케 합니다.

오늘날까지 공격자들은 taskmgr.exe, procdump.exe, comsvc.dll과 같은 LOLBin(Libing Off Land Binaries)을 사용한 자격증명 덤핑을 선호하고 있습니다. 그런 이유는 이것들이 기본적으로 Windows 내장 기능을 이용하기 때문에 바이러스 백신이나 EDR 솔루션에 탐지될 가능성이 낮고 흔적이 덜 남기 때문입니다. 공격자에 의해 실행되거나 백업한 lsass 관련 파일 등이 공격자에게 노출된다면 시스템 내부의 모든 NT Hash 정보들이 유출되는 파장이 있음에도 필요한 이유는 이것이 Windows의 시스템 보안와 관련된 핵심 프로세스이기 때문입니다. 따라서 보안 강화를 위해서는 접근할 수 있는 관리자 권한을 최소화하며 Credential Guard, Protected Process Light 등의 기능을 사용할 수 있습니다.

Practice

ProcDump - SysinternalsMicrosoftLearn

실습을 위해서 Microsoft에서 제공하는 ProcDump 도구를 다운받습니다.

ProcDump를 사용하여 메모리 덤프를 시작합니다.

덤핑 결과값인 lsass.dmp 파일을 로컬로 가져와서 pypykatz를 통해 분석하면 사용자 NT Hash, DPAPI 등의 정보를 확보할 수 있습니다.

References

Local Security Authority Subsystem ServiceWikipedia

(주) 싸이버원www.cyberone.kr

EDR을 이용한 다양한 LSASS 자격 증명 덤핑 방식들 탐지 - ASECASEC

ProcDump - SysinternalsMicrosoftLearn