El proyecto "Dumpy" del usuario Kudaes es una herramienta diseñada para realizar volcados de memoria del proceso LSASS (Local Security Authority Subsystem Service) en sistemas Windows. Esta herramienta es útil para profesionales de seguridad que necesitan analizar la memoria del LSASS sin ser detectados fácilmente por sistemas de seguridad.
"Dumpy" funciona llamando dinámicamente a la función MiniDumpWriteDump para volcar el contenido de la memoria del LSASS. Lo hace sin abrir un nuevo manejador de proceso para LSASS, utilizando técnicas avanzadas como DInvoke_rs para dificultar la detección de su comportamiento malicioso. Para obtener un manejador de proceso válido sin llamar a OpenProcess sobre LSASS, analiza todos los manejadores de procesos en el sistema usando varias funciones del sistema operativo como NtQuerySystemInformation y NtDuplicateObject. Además, utiliza transacciones NTFS para cifrar el volcado de memoria antes de almacenarlo en el disco o enviarlo a través de HTTP.
La herramienta ofrece dos acciones principales: dump y decrypt. La acción dump ejecuta la lógica principal para volcar la memoria del LSASS y puede almacenar el resultado en un archivo cifrado o enviarlo directamente a un servidor remoto mediante HTTP. La acción decrypt permite descifrar un volcado de memoria previamente generado, proporcionando el contenido en un formato que herramientas como Mimikatz pueden interpretar. Esto facilita el análisis de la memoria volcada.
El proyecto a continuación: