jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » LSA Secrets

LSA Secrets

Threat-actor 2 min lectura
Fecha
26 May 2026
Actor
-
Tipo
Threat-actor
Pais
Unknown
Sector
-
Confianza
medium
49
Prioridad analitica
Baja

Basado en actor, pais, IOCs, TTPs, filtracion y calidad de contexto.

1IOCs
1TTPs
N/DActor
UnknownPais

LSA Secrets

Descripcion de la Tecnica

T1003.004 es una técnica de ciberseguridad asociada al framework MITRE ATT&CK que describe cómo los adversarios con acceso a cuentas de sistema pueden intentar acceder a secrets del Local Security Authority (LSA). Estos secretos almacenan credenciales y otros datos sensibles, incluyendo credenciales para cuentas de servicio. La vulnerabilidad permite a los atacantes extraer información crítica, como contraseñas o tokens, que pueden ser utilizados para comprometer sistemas o realizar actividades maliciosas.

Como Funciona

Los adversarios con acceso a nivel SYSTEM pueden explotar esta técnica mediante la accesibilidad directa al registro local. Los secrets del LSA se almacenan en la ruta HKEY_LOCAL_MACHINE\SECURITY\POLICY\SECRETS, donde se guardan credenciales de cuentas de servicio y otros materiales sensibles. Además, estos secretos pueden ser extraídos desde la memoria del sistema, lo que permite a los atacantes obtener información confidencial sin necesidad de acceder directamente al registro.

Actores que la Utilizan

Esta técnica es utilizada por diversos actores maliciosos, incluyendo grupos de ciberataques con fines de espionaje o ransomware. Los atacantes suelen aprovechar vulnerabilidades en sistemas operativos para ganar acceso a nivel SYSTEM y luego explotar esta técnica para obtener credenciales críticas.

Deteccion

La detección de esta técnica requiere monitoreo de actividades anormales en el registro, especialmente cambios no autorizados en la clave HKEY_LOCAL_MACHINE\SECURITY\POLICY\SECRETS. También es importante vigilar comportamientos sospechosos relacionados con la extracción de datos desde la memoria del sistema. El uso inusual de credenciales de servicio o anomalías en el acceso a recursos de seguridad pueden indicar un compromiso.

Indicadores de Compromiso (IOCs)

Tipo Valor Contexto
Registro HKEY_LOCAL_MACHINE\SECURITY\POLICY\SECRETS Ruta donde se almacenan los secretos del LSA

Mitigacion

Para mitigar este riesgo, es fundamental garantizar que el acceso a nivel SYSTEM esté restringido y que los sistemas operativos tengan actualizaciones de seguridad recientes. Se recomienda habilitar auditoría de eventos relacionados con el registro y la memoria del sistema. Además, se debe implementar políticas estrictas de control de acceso y monitoreo continuo de actividades anormales en entornos críticos.

Diamond Model

Adversary
No atribuido
Victim
LSA Secrets
Capability
Threat-actor
1 TTPs MITRE
Infrastructure
Sin infraestructura confirmada

Indicadores de Compromiso (IOCs)

TipoValorContextoOSINT
Tipo Valor Contexto VT OffSec SOCRadar

Referencias y enlaces

→ Buscar en Google News → Analizar en VirusTotal → Feed RSS del blog
← Volver al panel de inteligencia

Incidentes recientes

FortiBleed: exposición masiva de credenciales Fortinet y guía CTI de respuesta19 Jun 2026 · campaign PJ Daly Contracting19 Jun 2026 · qilin mlit.com.my UPDATE-FULL DATA DUMP 10GB19 Jun 2026 · stormous June 2026 Stealer Logs18 Jun 2026 · breach CFGI18 Jun 2026 · breach Berkadia18 Jun 2026 · breach Infinite Campus18 Jun 2026 · breach Horizon Family Medical Group18 Jun 2026 · incransom