这就是Microsoft Defender ATP解决密码窃取凭据转储尝试的方法

微软详细介绍了其安全工具如何阻止黑客查找和窃取密码和登录信息，从而可能更快地阻止攻击。微软CEO纳德拉：Windows 10也是物联网游戏Windows 10是微软计划成为物联网玩家计划的关键部分。问题在于，很少有人看正如Microsoft解释的那样，lsass.exe管理大量用户凭据机密，使其内存空间成为“凭据转储”的关键目标 - 或从操作系统中窃取凭据，攻击者可以使用该凭据然后在目标网络周围横向移动。

攻击者可以使用一些工具从lsass.exe内存空间读取数据，然后将其转储以获取凭据。

微软表示，其中一种检测凭证转储攻击的方法(通常由所谓的高级持久性威胁(APT)组使用)依赖于对lsass.exe进程的内存访问的统计建模。这允许它查找特定行为而不仅仅是检测特定工具。

例如，虽然一些攻击使用了众所周知的凭证转储工具Mimikatz(它是NotPetya恶意软件的武器库与NSA的EternalBlue漏洞利用相结合的一部分)，但如果它被下载到受害者的网络上，该工具可能会引发警报。

因此，攻击者在目标系统上使用合法的管理工具来执行相同的任务，例如Sqldumper.exe，这是Microsoft SQL Server附带的实用程序。这种方法被称为“生活在陆地上”，并允许攻击者避免通常被检测为恶意的工具。

攻击者可能会使用合法的工具来转储内存，窃取它，然后使用任何最佳工具从受害者的机器中提取凭据，而不是一开始就使用Mimikatz。

因此，Microsoft的Microsoft Defender Advanced Threat Protection(APT)方法是查看用于访问lsass.exe进程的所有工具的一般行为。

“lsass.exe进程管理许多用户凭据机密;与凭据窃取相关的关键行为，因此在攻击者使用的许多工具中很常见，就是从这个进程的内存空间读取大量数据，”Rob Mead和Tim解释道。 Microsoft威胁情报中心的Burrell。

在审查了用于凭据转储的几个工具之后，Microsoft的分析发现“与凭证转储相关的lsass.exe进程的内存读取数量和大小是高度可预测的”，并且比合法读取大得多，例如正常处理登录的用户。

当Microsoft检测到异常读取时，Microsoft Defender ATP会在Windows Defender安全中心发出警报，通知管理员“敏感凭据内存读取”。

该警告说明已从lsass.exe扫描或转储进程，并且访问此进程内存的攻击者可以提取身份验证哈希或密码。“可以将此内存的副本写入文件系统，并将其解压缩以脱机提取这些凭据”。

该警告还详细说明了一个进程树图，在Microsoft的示例中可以追溯到Sqldumper.exe。Microsoft Defender还检测到滥用Microsoft的其他合法管理工具，包括ProcDump和任务管理器，如果它们已经以这种方式使用的话。这些警报的全部目的是让安全运营团队有机会尽早停止凭证转储技术，以应对攻击的后期阶段。