jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » LSA Secrets

LSA Secrets

Threat-actor 2 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium

LSA Secrets

Descripcion de la Tecnica

T1003.004 es una técnica de ciberseguridad asociada al framework MITRE ATT&CK que describe cómo los adversarios con acceso a cuentas de sistema pueden intentar acceder a secrets del Local Security Authority (LSA). Estos secretos almacenan credenciales y otros datos sensibles, incluyendo credenciales para cuentas de servicio. La vulnerabilidad permite a los atacantes extraer información crítica, como contraseñas o tokens, que pueden ser utilizados para comprometer sistemas o realizar actividades maliciosas.

Como Funciona

Los adversarios con acceso a nivel SYSTEM pueden explotar esta técnica mediante la accesibilidad directa al registro local. Los secrets del LSA se almacenan en la ruta HKEY_LOCAL_MACHINE\SECURITY\POLICY\SECRETS, donde se guardan credenciales de cuentas de servicio y otros materiales sensibles. Además, estos secretos pueden ser extraídos desde la memoria del sistema, lo que permite a los atacantes obtener información confidencial sin necesidad de acceder directamente al registro.

Actores que la Utilizan

Esta técnica es utilizada por diversos actores maliciosos, incluyendo grupos de ciberataques con fines de espionaje o ransomware. Los atacantes suelen aprovechar vulnerabilidades en sistemas operativos para ganar acceso a nivel SYSTEM y luego explotar esta técnica para obtener credenciales críticas.

Deteccion

La detección de esta técnica requiere monitoreo de actividades anormales en el registro, especialmente cambios no autorizados en la clave HKEY_LOCAL_MACHINE\SECURITY\POLICY\SECRETS. También es importante vigilar comportamientos sospechosos relacionados con la extracción de datos desde la memoria del sistema. El uso inusual de credenciales de servicio o anomalías en el acceso a recursos de seguridad pueden indicar un compromiso.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
Registro HKEY_LOCAL_MACHINE\SECURITY\POLICY\SECRETS Ruta donde se almacenan los secretos del LSA

Mitigacion

Para mitigar este riesgo, es fundamental garantizar que el acceso a nivel SYSTEM esté restringido y que los sistemas operativos tengan actualizaciones de seguridad recientes. Se recomienda habilitar auditoría de eventos relacionados con el registro y la memoria del sistema. Además, se debe implementar políticas estrictas de control de acceso y monitoreo continuo de actividades anormales en entornos críticos.

← Volver al panel de inteligencia

Incidentes recientes

University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin d4ug.site11 Jun 2026 · observable msget.run11 Jun 2026 · observable catalystglobalsolutions.com11 Jun 2026 · observable centrikglobalconsulting.com11 Jun 2026 · observable cydfconsulting.com11 Jun 2026 · observable