1. lsass dump

본 프로젝트에서는 mimikatz sekurlsa::logonpassword를 사용하였으나, 아래 Event는 tool에 한정되지 않는다.

[Victim Client] Event ID 4656 (lsass.exe Handle 요청 탐지)

→ Process Information - Name이 일반적으로 lsass.exe에 접근하는 프로세스가 아닌 경우 Detection

다만, 범위가 넓고 White List로 관리할 시 의도하지 않은 영역에서 오류가 발생할 수 있어 추가적인 연구가 필요할 것으로 보인다.

Last updated 11 months ago