LSASS Dumping: মেমোরি থেকে ইউজারনেম এবং পাসওয়ার্ড ডাম্প করার সাইবার কৌশল!

Local Security Authority Subsystem Service বা lsass.exe হলো Windows-এর একটি Critical Process যা User Authentication পরিচালনা করে। যখন একজন ব্যবহারকারী Interactive বা Network Login করেন, তখন তাদের Credential বিভিন্ন রূপে LSASS-এর Virtual Memory-তে সংরক্ষিত হয়। এই তথ্যগুলোর মধ্যে রয়েছে NTLM Hash, LM Hash, Kerberos Ticket, DPAPI Master Key, এবং কখনও কখনও Plaintext Password।

Windows 8.1-এর আগে, WDigest Authentication Protocol Default-এ Plaintext Password মেমোরিতে রাখত যাতে SSO সঠিকভাবে কাজ করে। এটি Mimikatz-এর জন্য একটি সোনার খনি ছিল। Microsoft পরবর্তীতে WDigest Disable করার অপশন যুক্ত করে এবং Windows 8.1 থেকে এটি Default-এ Off। তবে Registry তে UseLogonCredential মান 1 সেট করে আক্রমণকারী এটি পুনরায় Enable করতে পারে।

Kerberos Authentication-এর ক্ষেত্রে LSASS-এ TGT এবং Service Ticket সংরক্ষিত থাকে। এগুলো Pass-the-Ticket আক্রমণে ব্যবহার করা যায়। NTLM Hash সংরক্ষিত থাকে Pass-the-Hash আক্রমণের জন্য। এমনকি Cached Domain Credential-ও LSASS-এ থাকতে পারে, যা Offline Cracking-এর জন্য ব্যবহার করা যায়।

Mimikatz হলো LSASS Dumping-এর জগতে সবচেয়ে বিখ্যাত Tool, যা Benjamin Delpy তৈরি করেছেন। sekurlsa::logonpasswords কমান্ড LSASS-এর মেমোরি Parse করে এবং বিভিন্ন Authentication Package থেকে Credential বের করে। sekurlsa::tickets Kerberos Ticket Export করে, এবং lsadump::sam Local SAM Database থেকে Hash বের করে।

Mimikatz-এর জনপ্রিয়তার কারণে এটি প্রায় প্রতিটি Antivirus এবং EDR দ্বারা Signature-Based Detection-এ ধরা পড়ে। তাই আক্রমণকারীরা Custom Obfuscation, In-Memory Execution, এবং Reflective DLL Loading-এর মতো কৌশল ব্যবহার করে। SafetyKatz, Pypykatz, এবং Lsassy-এর মতো বিকল্প Tools একই কাজ ভিন্ন পদ্ধতিতে করে।

Pypykatz বিশেষভাবে আকর্ষণীয় কারণ এটি Python-এ লেখা এবং একটি Static Memory Dump File থেকে Credential Parse করতে পারে, LSASS-এ সরাসরি Interact না করে। এর মানে আক্রমণকারী একবার Memory Dump করার পর সেটি একটি দূরবর্তী Linux মেশিনে নিয়ে Analyze করতে পারে, যা Detection এড়ানোর জন্য কার্যকর।

LSASS Dumping-এর সবচেয়ে মৌলিক পদ্ধতি হলো Windows API ফাংশন MiniDumpWriteDump ব্যবহার করা। এটি একটি Legitimate Function যা Process Crash Dump তৈরি করতে ব্যবহৃত হয়। SeDebugPrivilege থাকলে যেকোনো Process থেকে এই Dump তৈরি করা যায়।

Sysinternals-এর ProcDump Tool এই API ব্যবহার করে এবং Microsoft-Signed হওয়ায় অনেক Endpoint Solution এটিকে Trusted মনে করে। procdump -ma lsass.exe lsass.dmp কমান্ড LSASS-এর সম্পূর্ণ Memory Dump তৈরি করে। তবে আধুনিক EDR এখন ProcDump-এর LSASS-এর বিরুদ্ধে ব্যবহার শনাক্ত করতে পারে।

Task Manager-এর "Create dump file" অপশন GUI-Based একটি বিকল্প পদ্ধতি। Comsvcs.dll-এর MiniDump Function-ও rundll32-এর মাধ্যমে Invoke করা যায় - rundll32.exe C:\Windows\System32\comsvcs.dll, MiniDump। এই Living-off-the-Land Binary বা LOLBin পদ্ধতি Detection এড়াতে কার্যকর কারণ এটি Native Windows Component ব্যবহার করে।

আধুনিক EDR সমাধান User Mode-এ NTDLL.dll-এর Function-গুলোতে Hook স্থাপন করে। যখন কোনো Process MiniDumpWriteDump বা ReadProcessMemory কল করে, তখন EDR সেই Call Inspect করে এবং সন্দেহজনক হলে Block করে। এই Hook Bypass করার জন্য আক্রমণকারীরা Direct System Call ব্যবহার করে।

Direct System Call-এ NTDLL.dll-এর Function না কল করে সরাসরি Assembly-তে syscall Instruction চালানো হয়। Syswhispers, Hell's Gate, Halo's Gate, এবং Tartarus Gate-এর মতো প্রকল্প এই কৌশল সহজ করেছে। এগুলো Compile Time-এ Syscall Number Resolve করে এবং Stub তৈরি করে যা EDR Hook সম্পূর্ণ Bypass করে।

আরেকটি কৌশল হলো API Unhooking, যেখানে আক্রমণকারী Disk থেকে NTDLL.dll-এর Clean Copy লোড করে এবং Hooked Function-গুলো প্রতিস্থাপন করে। PerunsFart এবং Diabolus-এর মতো Tool এই কাজ স্বয়ংক্রিয় করে। এই কৌশল ব্যবহার করে Mimikatz-এর কার্যকারিতা পুনরুদ্ধার করা যায়।

Werfault.exe হলো Windows Error Reporting Service, যা স্বয়ংক্রিয়ভাবে Crashed Process-এর Memory Dump তৈরি করে। আক্রমণকারীরা Image File Execution Options Registry Key-এ MonitorProcess এবং DumpFolder সেট করে LSASS-এর জন্য Silent Process Exit Notification Enable করতে পারে।

এরপর LSASS-কে একটি Controlled Manner-এ Crash বা Terminate করা হলে Werfault স্বয়ংক্রিয়ভাবে একটি Full Memory Dump তৈরি করে নির্দিষ্ট Folder-এ। এই পদ্ধতি বিশেষভাবে চতুর কারণ Dump File-টি Windows-এর নিজস্ব Service দ্বারা তৈরি হয়, যা অনেক EDR-কে বিভ্রান্ত করে।

আরেকটি কৌশল হলো MalSecLogon, যা Seclogon Service-এর মাধ্যমে LSASS Handle অর্জন করে। Seclogon-এর কিছু Function LSASS-এ Special Access দাবি করে, এবং এই Trust Relationship Exploit করে Credential Extract করা যায়। NanoDump এবং Dumpert-এর মতো Tool এই উন্নত পদ্ধতিগুলো বাস্তবায়ন করে।

NanoDump হলো একটি বিশেষায়িত LSASS Dumping Tool যা Detection এড়ানোর জন্য একাধিক উন্নত কৌশল ব্যবহার করে। এটি Direct System Call, Invalid Signature Tampering, এবং Heap Hooking-এর মতো বৈশিষ্ট্য একসাথে সরবরাহ করে। এটি Cobalt Strike Beacon Object File বা BOF হিসেবেও ব্যবহার করা যায়, যা একটি বিশেষ সুবিধা প্রদান করে।

NanoDump-এর একটি অনন্য বৈশিষ্ট্য হলো Minimal Dump তৈরি করার ক্ষমতা। এটি শুধুমাত্র Credential-সম্পর্কিত Memory Region Dump করে, যা ফাইল আকার অনেক ছোট করে এবং Exfiltration সহজ করে। এছাড়া এটি Invalid Signature যুক্ত করে Dump File-কে Disguise করতে পারে যাতে এটি একটি Standard Crash Dump-এর মতো না দেখায়।

Dumpert আরেকটি জনপ্রিয় Tool যা Direct System Call এবং API Unhooking-এর সংমিশ্রণ ব্যবহার করে। এটি একটি Standalone Executable হিসেবে Run করা যায় এবং অধিকাংশ EDR-এর বিরুদ্ধে কার্যকর প্রমাণিত হয়েছে। SharpDump এবং OutFlankDump-এর মতো C# Implementation-ও জনপ্রিয়, বিশেষত Cobalt Strike-এর execute-assembly Feature-এর সাথে।

একটি সাধারণ Red Team অপারেশনে LSASS Dumping পদ্ধতিগতভাবে ঘটে। প্রথমে Initial Foothold অর্জিত হয় Phishing বা Exploitation-এর মাধ্যমে। তারপর Local Privilege Escalation করে SeDebugPrivilege অর্জন করা হয়। এই পর্যায়ে LSASS Dumping সম্ভব হয়।

Dump File তৈরি হলে এটি C2 Server-এ Exfiltrate করা হয়। C2-এ Pypykatz বা অন্য Offline Tool ব্যবহার করে Credential বের করা হয়। যদি Domain Admin-এর Credential মেমোরিতে থাকে, তাহলে পুরো Domain Compromise সম্ভব। যদি না থাকে, তাহলে অন্য Workstation-এ Lateral Movement করে Privileged User-এর Session খুঁজে বের করা হয়।

বাস্তব ঘটনার একটি উদাহরণ হলো 2021 সালের Kaseya VSA Attack। REvil Ransomware Group Kaseya-র Vulnerability Exploit করে Initial Access অর্জনের পর LSASS Dumping-এর মাধ্যমে অসংখ্য Managed Service Provider-এর Credential চুরি করে এবং তাদের Customer Network-এ Ransomware Deploy করে। এই একক ঘটনায় বিশ্বব্যাপী হাজারো প্রতিষ্ঠান ক্ষতিগ্রস্ত হয়।

LSASS Dumping শনাক্ত করার জন্য Microsoft Defender for Endpoint, Sysmon, এবং SIEM-এর সমন্বিত ব্যবহার প্রয়োজন। Sysmon Event ID 10 যেকোনো Process-এর LSASS-এ Access Request লগ করে। GrantedAccess মান 0x1010, 0x1410, 0x1438, এবং 0x143A বিশেষভাবে সন্দেহজনক, কারণ এগুলো PROCESS_VM_READ এবং PROCESS_QUERY_INFORMATION অনুমতি নির্দেশ করে।

Windows Defender Attack Surface Reduction বা ASR Rule "Block credential stealing from the Windows local security authority subsystem" এই আক্রমণ উল্লেখযোগ্যভাবে কমাতে পারে। GUID 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 দিয়ে চিহ্নিত এই Rule সক্রিয় থাকলে Mimikatz এবং অনুরূপ Tool Block হয়।

Network Level Detection-ও গুরুত্বপূর্ণ। LSASS Memory Dump File সাধারণত 50 MB থেকে কয়েকশ MB হয়, এবং এর Exfiltration Network Traffic-এ অস্বাভাবিক Pattern তৈরি করে। DNS Tunneling, HTTPS Beacon, বা SMB Transfer পর্যবেক্ষণ করে এই Exfiltration শনাক্ত করা যায়।

LSASS Dumping প্রতিরোধের সবচেয়ে কার্যকর উপায় হলো Multi-Layer Defense গড়ে তোলা। প্রথমত, LSA Protection বা RunAsPPL সক্রিয় করা যাতে LSASS Protected Process হিসেবে চলে। দ্বিতীয়ত, Credential Guard Enable করা যাতে সংবেদনশীল Credential VBS-এ Isolated থাকে।

WDigest Disable করা এবং নিশ্চিত করা যে Registry-এর মাধ্যমে এটি পুনরায় Enable করা না যায়। Cached Domain Credential-এর সংখ্যা কমিয়ে আনা, বিশেষত Privileged Account-এর জন্য। Privileged Access Workstation বা PAW ব্যবহার করা যাতে Domain Admin Credential কখনই Standard Workstation-এ Cache না হয়।

Tiered Administration Model অনুসরণ করা - Tier 0 (Domain Controller), Tier 1 (Server), Tier 2 (Workstation) - এবং নিশ্চিত করা যে উচ্চ Tier-এর Credential কখনই নিম্ন Tier-এর সিস্টেমে ব্যবহার না হয়। এটি LSASS Dumping-এর প্রভাব সীমিত করে কারণ Compromised Workstation-এ শুধুমাত্র Standard User-এর Credential থাকবে।

EDR এবং XDR সমাধান মোতায়েন করা যা Behavioral Detection ব্যবহার করে। Microsoft Defender, CrowdStrike Falcon, এবং SentinelOne-এর মতো আধুনিক সমাধান Direct System Call এবং API Unhooking-এর মতো উন্নত কৌশলও শনাক্ত করতে পারে। Regular Threat Hunting Exercise পরিচালনা করা এবং Mimikatz-এর মতো Tool-এর Latest Variant-এর বিরুদ্ধে Detection যাচাই করা।