Descripción de la Tecnica
OS Credential Dumping es una técnica asociada a la Técnica de Movimiento Lateral en el framework MITRE ATT&CK. Este método permite a los adversarios extraer credenciales almacenadas en sistemas operativos, como contraseñas claras o hashes, para obtener acceso a cuentas o información sensible. La extracción puede realizarse desde cachés del sistema, memoria o estructuras específicas.
Como Funciona
La técnica implica la identificación y recuperación de credenciales almacenadas en diversos lugares del sistema operativo. Por ejemplo, herramientas como MimiKatz pueden ser utilizadas para extraer hashes de usuarios o contraseñas de memoria. Una vez obtenidas, estas credenciales se usan para iniciar sesiones en sistemas remotos o acceder a recursos protegidos.
Actores que la Utilizan
Esta técnica es utilizada por actores maliciosos con el objetivo de obtener acceso no autorizado. Además, profesionales de seguridad pueden emplearla para pruebas de penetración o auditoría. Sin embargo, su uso en entornos legítimos requiere permisos y protocolos estrictos.
Detección
La detección implica monitorear actividades anómalas relacionadas con la extracción de credenciales. Esto incluye revisar registros de sistema, identificar accesos no autorizados a recursos críticos y analizar comportamientos inusuales en herramientas de seguridad. La combinación de análisis de logs y monitorización de memoria puede ayudar a detectar esta técnica.
Indicadores de Compromiso (IOCs)
| Tipo | Valor | Contexto |
| Indicador de comportamiento | Acceso a recursos críticos sin autenticación | Sistemas con actividad anómala en memoria o cachés |
| Indicador de registro | Acciones de extracción de credenciales | Eventos relacionados con herramientas como MimiKatz |
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo, se recomienda implementar medidas de seguridad como: - Auditoría de actividad: Monitoreo constante de accesos y extracciones de credenciales. - Actualización de sistemas: Mantener software actualizado para corregir vulnerabilidades. - Autenticación multifactorial: Limitar el acceso a recursos críticos con métodos adicionales de autenticación. - Revisión de permisos: Asegurar que solo usuarios autorizados tengan acceso a cuentas y recursos sensibles.