Das EDR meldet einen Prozess, der den LSASS-Speicher liest. Warum ist das wichtig und was tun Sie?
Kurzantwort
LSASS speichert zwischengespeicherte Anmeldedaten und Geheimnisse, daher ist ein unerwarteter Prozess, der seinen Speicher liest, ein Kennzeichen für Anmeldedatendiebstahl (z. B. ein Dump im Mimikatz-Stil). Triagieren Sie den auffälligen Prozess und dessen übergeordneten Prozess, isolieren Sie den Host, um laterale Bewegung zu stoppen, und rotieren Sie die Anmeldedaten, die erfasst worden sein könnten — einschließlich privilegierter und Dienstkonten. Es hat nichts mit Grafik-Rendering oder Speicherplatz zu tun, und es als normal abzutun, kann zur Kompromittierung der gesamten Domäne führen. Die harmlos klingenden Ablenker sind genau die Art, wie Analysten einen aktiven Einbruch übersehen.
LSASS (Local Security Authority Subsystem Service) ist der Windows-Prozess, der die Authentifizierung verwaltet und dabei Anmeldedatenmaterial im Speicher vorhält — Passwort-Hashes, Kerberos-Tickets und manchmal zwischengespeicherte Geheimnisse. Das macht seinen Speicher zum reichhaltigsten Ziel auf einem Windows-Host. Ein unerwarteter Prozess, der ein Handle auf LSASS öffnet und seinen Speicher liest, ist die klassische Signatur des Credential Dumping, der Technik hinter Werkzeugen wie Mimikatz.
Warum es so wichtig ist
Gestohlene LSASS-Anmeldedaten ermöglichen laterale Bewegung und Rechteausweitung. Mit einem erfassten Hash kann ein Angreifer Pass-the-Hash zu anderen Systemen durchführen; mit einem Kerberos-Ticket kann er sich als echter Benutzer bewegen; mit den Anmeldedaten eines Domänenadministrators kann er die gesamte Domäne übernehmen. Ein einziger LSASS-Dump kann einen kompromittierten Laptop in eine vollständige Active-Directory-Kompromittierung verwandeln. Dies ist kein Ereignis geringen Schweregrads.
Was zu tun ist
- Untersuchen Sie den Prozess und dessen übergeordneten Prozess — was ist es, von wo lief es, wer hat es gestartet, ist es signiert?
- Isolieren Sie den Host per EDR, um laterale Bewegung zu unterbinden und dabei flüchtige Beweise zu bewahren.
- Rotieren Sie offengelegte Anmeldedaten — jedes Konto, das eine Sitzung auf diesem Host hatte, mit Priorität auf privilegierten und Dienstkonten; falls Domänencontroller oder Domänenadministratoren betroffen waren, behandeln Sie die Domäne als kompromittiert.
Warum die Ablenker scheitern
- „Normales Windows-Verhalten — ignorieren" ist die Art, wie ein echter Einbruch durchgewunken wird. Manche signierten Prozesse berühren LSASS tatsächlich, aber das bestätigen Sie; Sie nehmen es nicht an.
- „Betrifft nur das Grafik-Rendering" und „die Festplatte ist voll" sind Unsinn — LSASS hat nichts mit der GPU oder dem Speicher zu tun. Sie sind dazu da, einen Kandidaten zu ertappen, der nicht wirklich weiß, was LSASS ist.
Was der Interviewer prüft
Ob Sie „Prozess liest LSASS" mit Anmeldedatendiebstahl und einem möglichen domänenweiten Vorfall verbinden können und ob Ihr Instinkt isolieren-und-rotieren lautet und nicht abtun.
Wahrscheinliche Anschlussfragen
- Welche legitimen Prozesse greifen tatsächlich auf LSASS zu, und wie unterscheiden Sie sie von einem Dumping-Werkzeug?
- Wie würden Credential Guard oder der geschützte Prozessmodus (PPL) von LSASS die Optionen des Angreifers verändern?
- Welche Anmeldedaten müssen zuerst rotiert werden, und wie behandeln Sie den Kerberos-krbtgt, falls er offengelegt wurde?