Przypomnisz sobie framework MITRE ATT&CK. Tutaj zastosujemy go do polowania na zachowania wrogie. Na początek przyjrzymy się podtechnice T1003.002, Zrzucanie poświadczeń systemu operacyjnego. Ta podtechnika opisuje, w jaki sposób przeciwnik może wyodrębnić informacje poświadczeń z Menedżera konta zabezpieczeń systemu Windows (SAM), albo z pamięci, albo z Rejestr systemu Windows, w którym jest przechowywany. SAM jest dużym celem dla atakujących z oczywistych powodów: zawiera lokalne dane uwierzytelniające hosta. Jak wyjaśniono w ramach, do pobrania SAM można użyć wielu zautomatyzowanych narzędzi lub wystarczy proste polecenie z okna wiersza poleceń administratora:
reg save HKLM\sam sam
reg save HKLM\system system
Przyjrzyjmy się, co OSSEM mówi nam o tej podtechnice.