Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie sich durch die weitere Nutzung dieser Website mit den Bedingungen unserer Politik zum Schutz der Privatsphäre und des Datenschutzes .
Einige unserer Partnerdienste befinden sich in den USA. Nach Rechtsprechung des Europäischen Gerichtshofs existiert derzeit in den USA kein angemessener Datenschutz. Es besteht das Risiko, dass Ihre Daten durch US-Behörden kontrolliert und überwacht werden. Dagegen können Sie keine wirksamen Rechtsmittel vorbringen.
Akzeptieren

LSASS Credential Dumping Certification Test

AV-Comparatives führt gezielte offensive Sicherheitstests durch und bietet Anbietern die Möglichkeit, sich in bestimmten Bereichen zertifizieren zu lassen. Einer der Schwerpunkte bei der diesjährigen Prüfung war das "Credential Dumping" (LSASS Protection). Berichte zu den Zertifizierungen werden ausschließlich für Anbieter ausgestellt, die unsere strengen Kriterien erfolgreich erfüllt haben. Die getesteten Anbieter erhielten detaillierte technische Daten und Feedback, um die Widerstandsfähigkeit ihrer Produkte gegen potenzielle Angriffe zu verbessern.

https://www.av-comparatives.org/news/lsass-credential-dumping-certification-test/

Im Bereich der Advanced Persistent Threats (APTs) setzen Angreifer eine Vielzahl von Techniken ein, doch der Zugriff auf den LSASS-Prozess auf einem kompromittierten Windows-Host bleibt ein bekanntes Ziel darstellt. Der LSASS-Prozess beherbergt sensible Daten, einschließlich Windows-Anmeldeinformationen, und ist damit ein optimales Ziel für Angreifer. Die Erkennung und Verhinderung bösartiger Aktivitäten, die auf LSASS abzielen, sind für AV/EDR-Produkte von entscheidender Bedeutung, da der unbefugte Zugriff auf diesen Prozess eine erhebliche Bedrohung darstellt.

Methodik

Der LSASS Credential Dumping Test wurde entwickelt, um einen spezifischen Schutzaspekt zu bewerten, im Gegensatz zu AV-Comparativess umfassenden EPR-Tests. Die Produkte werden maßgeschneiderten Konfigurationen unterzogen, die für die Abwehr von LSASS-bezogenen Bedrohungen optimiert sind. Für diese Bewertung verwenden wir die neueste Version von vollständig gepatchtem Windows 10. Die Tester melden sich als minimale Benutzer mit mittlerer Integrität an und führen LSASS-Dump-POCs als privilegierte Benutzer mit hoher oder Systemintegrität aus.

Schlüsselvariablen

Unsere Bewertung umfasst eine Reihe von Faktoren, um die Wirksamkeit von AV/EDR-Produkten bei der Verhinderung von unberechtigtem LSASS-Zugriff zu beurteilen:

  • Credential Dumping Tools: Bewertung der verschiedenen Tools, die für das Dumping von Anmeldeinformationen aus LSASS verwendet werden.
  • Integrity Level: Schwankungen in der Integritätsstufe des ausführenden Prozesses.
  • Living-off-the-Land Binaries: Analyse der Verwendung von legitimen System-Binärdateien für Credential Dumping.
  • WIN32 APIs vs. Direct System Calls: Untersuchung der unterschiedlichen API-Nutzung für den LSASS-Zugang.
  • PPID-Spoofing: Bewertung von Techniken, die zur Fälschung der Identifizierung des übergeordneten Prozesses verwendet werden.

Mit der Analyse dieser Variablen wollen wir einen Einblick in die Fähigkeiten von AV/EDR-Lösungen zum Schutz vor unbefugtem Zugriff auf den LSASS-Prozess geben. Diese Evaluation dient den Anbietern als Maßstab für die Verbesserung ihrer Produkte und die Stärkung der allgemeinen Cybersicherheitsresistenz.

Zertifizierte Produkte

Die LSASS Credential Dumping Evaluation von AV-Comparatives spielt eine wichtige Rolle bei der Bewertung der Wirksamkeit von AV/EDR-Produkten beim Schutz vor unbefugtem Zugriff auf den LSASS-Prozess, einer kritischen Komponente der Windows-Sicherheit. Nur Anbieter, die unsere Zertifizierungskriterien erfolgreich erfüllt haben, werden in ihren Berichten veröffentlicht. Von den sechs getesteten Produkten haben nur vier die Bewertung erfolgreich bestanden:

Nicht-zertifizierte Anbieter erhalten umfassendes Feedback, um die Abwehrkräfte ihrer Produkte gegen LSASS-bezogene Bedrohungen zu verbessern, was das Engagement von AV-Comparatives für die gemeinsame Weiterentwicklung von Cybersicherheitsmaßnahmen unterstreicht.