jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » Security Account Manager

Security Account Manager

Threat-actor 2 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium

Key Points

  • Técnicas en memoria: Herramientas como pwdumpx.exe analizan la memoria del sistema para extraer información del SAM sin acceder directamente al archivo físico.
  • Acceso al Registro de Windows: El SAM se almacena en el Registro bajo la clave HKEY_LOCAL_MACHINE\SAM. Los atacantes pueden leer esta ubicación si tienen privilegios SYSTEM.
  • Acesso no autorizado a HKEY_LOCAL_MACHINE\SAM.
  • Uso inusual de herramientas como pwdumpx.exe o net user.
  • Acceso a cuentas locales sin autorización.

Security Account Manager

Descripción de la Tecnica

Security Account Manager (SAM) es un componente crítico en sistemas Windows que almacena credenciales de cuentas locales. Los atacantes pueden intentar extraer información sensible del SAM mediante técnicas en memoria o accediendo a su almacenamiento en el Registro de Windows. Este proceso requiere nivel de acceso SYSTEM y está relacionado con la enumeración de cuentas localizadas en la máquina afectada.

La técnica se documenta en MITRE: T1003.002, un ataque patrón que describe cómo los adversarios obtienen datos del SAM, generalmente para obtener credenciales de usuarios o servidores locales.

¿Cómo Funciona?

El ataque se divide en dos métodos principales:

  1. Técnicas en memoria: Herramientas como pwdumpx.exe analizan la memoria del sistema para extraer información del SAM sin acceder directamente al archivo físico.
  2. Acceso al Registro de Windows: El SAM se almacena en el Registro bajo la clave HKEY_LOCAL_MACHINE\SAM. Los atacantes pueden leer esta ubicación si tienen privilegios SYSTEM.

    3. En ambos casos, los adversarios buscan cuentas locales y sus contraseñas almacenadas en formato cifrado (en sistemas Windows 2000 o posteriores).

    Actores que la Utilizan

    Esta técnica es utilizada por diversos actores maliciosos, incluyendo grupos de ciberdelincuencia y entidades con intereses criminales. No se disponen de datos específicos sobre actores particulares, pero su uso está asociado a ataques de tipo credential stuffing o enumeration.

    Detección

    La detección requiere monitorear actividades anormales relacionadas con el Registro de Windows y la memoria del sistema. Se pueden observar:

    • Acesso no autorizado a HKEY_LOCAL_MACHINE\SAM.
    • Uso inusual de herramientas como pwdumpx.exe o net user.
    • Acceso a cuentas locales sin autorización.

    Indicadores de Compromiso (IOCs)

    No hay Indicadores de Compromiso publicos disponibles.

    Mitigación

    Para mitigar este tipo de ataques:

    • Revisar regularmente el acceso al Registro y la memoria del sistema.
    • Limitar los privilegios SYSTEM a usuarios confiables.
    • Utilizar herramientas de seguridad para monitorear actividades anómalas en el SAM.
    • Implementar políticas de auditoría para rastrear accesos no autorizados.
← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin