네이티브 덤프(NativeDump)는 NTAPI를 사용하여 lsass 프로세스를 덤프할 수 있는 도구입니다. 이 도구는 Mimikatz나 Pypykatz와 같은 도구에서 파싱할 수 있는 Minidump 파일을 생성합니다. 네이티브 덤프는 시스템 정보, 모듈 목록 및 메모리 목록을 포함하는 최소한의 Minidump 파일을 생성합니다. 이 도구는 필요한 정보와 권한을 얻기 위해 다양한 NTAPI를 사용하며, 로컬 파일을 생성하거나 원격 머신으로 전송할 수 있으며, 선택적으로 인코딩 또는 암호화를 적용할 수 있습니다. 네이티브 덤프는 현재 윈도우 10 및 11 장치에서 테스트되었으며, 일반적인 보안 솔루션에서 아직 탐지되지 않았습니다.
kitploit.com
NativeDump - Dump Lsass Using Only Native APIs By Hand-Crafting Minidump Files (Without MinidumpWriteDump!)
RSS Hunter
2024-06-16