用户登录后，攻击者可能会尝试访问存储在本地安全认证子系统服务 (LSASS) 进程内存中的凭据材料。

ID：<a rel="noopener noreferrer" href="https://attack.mitre.org/techniques/T1003/001" target="_blank">T1003.001</a>​ 子技术归属：<a rel="noopener noreferrer" href="https://attack.mitre.org/techniques/T1003" target="_blank">T1003</a>​ 策略：<a rel="noopener noreferrer" href="https://attack.mitre.org/tactics/TA0006" target="_blank">TA0006</a>​

检测

操作系统凭据转储：LSASS 内存

critical

描述

另见

指标详细信息