Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie durch die weitere Nutzung dieser Website den Bedingungen unserer Privacy and Data Protection Policy zustimmen.
Akzeptieren

LSASS Credential-Dumping Security

Der Local Security Authority Subsystem Service (LSASS) von Windows ist eines der Ziele von Cyberkriminellen, wenn sie gezielte Angriffe auf das Netzwerk eines Unternehmens starten. In diesem Blogpost erörtern wir die Bedeutung dieses Prozesses für gezielte Angriffe.

Aus der Sicht eines Angreifers ist der LSASS-Prozess auf einem Windows-Rechner oft der Schlüssel, um an nützliche Anmeldeinformationen von Domänenbenutzern zu gelangen und diese zu nutzen und durchquert damit systematisch Anwendungen und Geräte im Netzwerk (Lateral Movement). Es gibt verschiedene Methoden, einschließlich speziell entwickelter Malware, die von Angreifern und Red Teams verwendet werden können, um Anmeldeinformationen aus dem LSASS Prozess zu extrahieren.

Schutz vor LSASS Credential Dumping
Je nach installiertem Security-Produkt und angewendeter Richtlinie kann es für einen Angreifer einfacher oder schwieriger sein, über das Dumping des Adressenspeichers von LSASS an die Anmeldedaten der Nutzer zu gelangen.

Einige Security-Produkte enthalten spezielle Härtungsmaßnahmen zum Schutz des LSASS-Prozesses und zur Verhinderung von Credential Dumping. Allerdings ist es in manchen Unternehmensumgebungen nicht immer möglich, diese restriktiveren Richtlinien zu verwenden, da sie Probleme mit einigen älteren oder schlecht programmierten Anwendungen verursachen können. Daher ist es für IT-Administratoren ratsam, die Härtungseinstellungen eines Produkts zu testen, um festzustellen, ob sie unerwünschte Nebeneffekte haben.

Darüber hinaus sollten Blue Teams immer davon ausgehen, dass entschlossene Angreifer einen Weg finden werden, den LSASS-Prozess auszuschalten, selbst wenn die installierten Sicherheitsprodukte einen speziellen Code verwenden, um den LSASS-Prozess gegen Angriffe zu härten. Das heißt, dass sie immer noch in der Lage sein könnten, Benutzerdaten aus dem LSASS-Prozess zu extrahieren. Zusätzlich zu den spezifischen LSASS-Härtungsmaßnahmen können Security-Produkte das Credential Dumping z.B. mit Hilfe des Antivirus-Moduls verhindern; dieses kann die verwendete Malware oder andere von der Malware erstellte Dateien erkennen oder Verhaltenserkennung einsetzen, um die bösartigen Aktionen zu blockieren. In einigen Fällen blockiert die Antivirus-Software den Angriff zwar nicht, gibt aber zumindest eine Warnung aus und weist den Systemadministrator darauf hin, dass die böswilligen Aktionen untersucht werden sollten.

Bei einiger Antivirus-Software für Unternehmen sind die LSASS-Härtungsmaßnahmen standardmäßig aktiviert. Beispiele hierfür sind Avast Ultimate Business Security, Bitdefender GravityZone Business Security Enterprise und Kaspersky Endpoint Detection and Response Expert. Microsoft bietet außerdem zwei Funktionen, die speziell zum Schutz des LSASS-Verfahrens dienen, nämlich PPL (Protected Process Light) und ASR (Attack Surface Reduction) Regeln. PPL ist ab Windows 11 standardmäßig aktiviert (aktuell nicht in Windows 10) und es ist in den Varianten Professional, Enterprise und Education von Windows 10/11 enthalten. Die ASR-Regeln können in Unternehmensnetzwerken in Verbindung mit Microsoft Defender verwendet werden und müssen aktuell auf beiden Betriebssystemen proaktiv konfiguriert werden.

Test des Schutzes vor Credential-Dumping in Security-Produkten
Angesichts der Wichtigkeit, LSASS Credential Dumping zu verhindern, testete AV-Comparatives im Mai 2022 einige Security-Produkte für Unternehmen, um festzustellen, wie gut ihre Härtungsmaßnahmen vor Angriffen auf LSASS schützen.

Nachfolgend finden Sie einige Beispiele für Produkte (von Avast, Bitdefender, Kaspersky und Microsoft), die einen wirksamen Schutz gegen die 15 in unserem Test verwendeten Angriffe bieten, wenn die jeweiligen LSASS-Härtungsmaßnahmen aktiviert sind.

Die obige Tabelle enthält Ergebnisse für die folgenden Produkte (mit aktivierten LSASS-Schutzeinstellungen): Avast Ultimate Business Security, Bitdefender GravityZone Business Security Enterprise, Kaspersky Endpoint Detection and Response Expert und Microsoft Defender for Endpoint.

Microsoft bat uns, die Ergebnisse eines zusätzlichen Tests von Microsoft Defender for Endpoint zu veröffentlichen, den wir ohne aktivierte LSASS-Schutzfunktionen (PPL und ASR) durchgeführt haben. Damit wollten wir herausfinden, ob die oben genannten Angriffe auch von anderen Microsoft-Sicherheitsfunktionen erkannt werden würden. Für jeden Testfall haben wir überprüft, ob der Angriff korrekt den MITRE ATT&CK-Taktiken und -Techniken in Bezug auf LSASS zugeordnet werden konnte, wenn das Sicherheitsprodukt einen Angriff erkannte oder aktiv warnte. In den Fällen, in denen der Angriff durch das Sicherheitsprodukt verhindert wurde, haben wir überprüft, welche Informationen über die Bedrohung in der Verwaltungskonsole bereitgestellt wurden. Die Methodik und weitere Details zu diesem Test finden Sie in diesem PDF. Für weitere Informationen lesen Sie bitte auch diesen Blogeintrag von Microsoft.