LSASS Credential Dumping Certification Test
AV-Comparatives führt gezielte offensive Sicherheitstests durch und bietet Anbietern die Möglichkeit, sich in bestimmten Bereichen zertifizieren zu lassen. Einer der Schwerpunkte bei der diesjährigen Prüfung war das "Credential Dumping" (LSASS Protection). Berichte zu den Zertifizierungen werden ausschließlich für Anbieter ausgestellt, die unsere strengen Kriterien erfolgreich erfüllt haben. Die getesteten Anbieter erhielten detaillierte technische Daten und Feedback, um die Widerstandsfähigkeit ihrer Produkte gegen potenzielle Angriffe zu verbessern.
https://www.av-comparatives.org/news/lsass-credential-dumping-certification-test/
Im Bereich der Advanced Persistent Threats (APTs) setzen Angreifer eine Vielzahl von Techniken ein, doch der Zugriff auf den LSASS-Prozess auf einem kompromittierten Windows-Host bleibt ein bekanntes Ziel darstellt. Der LSASS-Prozess beherbergt sensible Daten, einschließlich Windows-Anmeldeinformationen, und ist damit ein optimales Ziel für Angreifer. Die Erkennung und Verhinderung bösartiger Aktivitäten, die auf LSASS abzielen, sind für AV/EDR-Produkte von entscheidender Bedeutung, da der unbefugte Zugriff auf diesen Prozess eine erhebliche Bedrohung darstellt.
Methodik
Der LSASS Credential Dumping Test wurde entwickelt, um einen spezifischen Schutzaspekt zu bewerten, im Gegensatz zu AV-Comparativess umfassenden EPR-Tests. Die Produkte werden maßgeschneiderten Konfigurationen unterzogen, die für die Abwehr von LSASS-bezogenen Bedrohungen optimiert sind. Für diese Bewertung verwenden wir die neueste Version von vollständig gepatchtem Windows 10. Die Tester melden sich als minimale Benutzer mit mittlerer Integrität an und führen LSASS-Dump-POCs als privilegierte Benutzer mit hoher oder Systemintegrität aus.
Schlüsselvariablen
Unsere Bewertung umfasst eine Reihe von Faktoren, um die Wirksamkeit von AV/EDR-Produkten bei der Verhinderung von unberechtigtem LSASS-Zugriff zu beurteilen:
- Credential Dumping Tools: Bewertung der verschiedenen Tools, die für das Dumping von Anmeldeinformationen aus LSASS verwendet werden.
- Integrity Level: Schwankungen in der Integritätsstufe des ausführenden Prozesses.
- Living-off-the-Land Binaries: Analyse der Verwendung von legitimen System-Binärdateien für Credential Dumping.
- WIN32 APIs vs. Direct System Calls: Untersuchung der unterschiedlichen API-Nutzung für den LSASS-Zugang.
- PPID-Spoofing: Bewertung von Techniken, die zur Fälschung der Identifizierung des übergeordneten Prozesses verwendet werden.
Mit der Analyse dieser Variablen wollen wir einen Einblick in die Fähigkeiten von AV/EDR-Lösungen zum Schutz vor unbefugtem Zugriff auf den LSASS-Prozess geben. Diese Evaluation dient den Anbietern als Maßstab für die Verbesserung ihrer Produkte und die Stärkung der allgemeinen Cybersicherheitsresistenz.
Zertifizierte Produkte
Die LSASS Credential Dumping Evaluation von AV-Comparatives spielt eine wichtige Rolle bei der Bewertung der Wirksamkeit von AV/EDR-Produkten beim Schutz vor unbefugtem Zugriff auf den LSASS-Prozess, einer kritischen Komponente der Windows-Sicherheit. Nur Anbieter, die unsere Zertifizierungskriterien erfolgreich erfüllt haben, werden in ihren Berichten veröffentlicht. Von den sechs getesteten Produkten haben nur vier die Bewertung erfolgreich bestanden:
- Bitdefender GravityZone Business Security Enterprise
- CrowdStrike Falcon Pro
- ESET PROTECT Enterprise Cloud
- Kaspersky Endpoint Security für Business
Nicht-zertifizierte Anbieter erhalten umfassendes Feedback, um die Abwehrkräfte ihrer Produkte gegen LSASS-bezogene Bedrohungen zu verbessern, was das Engagement von AV-Comparatives für die gemeinsame Weiterentwicklung von Cybersicherheitsmaßnahmen unterstreicht.