HashDump-BypassEDR — um kit de ferramentas para extrair hashes NT no Windows contornando o EDR

🧩 HashDump-BypassEDR — um kit de ferramentas para extrair hashes NT no Windows contornando o EDR

Um conjunto de utilitários e técnicas para extrair hashes de senha de usuário no Windows enquanto evade a detecção de EDR. A ideia central é aproveitar o utilitário reg.exe integrado para exportar as colmeias de registro SAM, SYSTEM, SECURITY, o que não aciona o monitoramento comportamental. Você também precisa executar o BootKey.exe para extrair o valor da chave de inicialização. Depois disso, os arquivos exportados são processados localmente no modo offline usando o script RegReduction.ps1, que então permite carregar os resultados no secretsdump.py para extrair hashes NT.

Recursos: 📍Não requer privilégios de administrador. 📍Compatível com Windows 10/11 e Server 2022/2025.

Comparado aos dumpers tradicionais do lsass.exe e mimikatz, o HashDump-BypassEDR evita o acesso direto ao processo LSASS e, portanto, é menos provável de ser bloqueado pelo EDR, embora exija exportação passo a passo e processamento offline, o que reduz a velocidade operacional.

📎 Ferramenta: https://github.com/AabyssZG/HashDump-BypassEDR

💬 Discutir