LSASS.exe — это самый простой процесс для взлома, и его легко скомпрометировать.

LSASS.exe — это служба Local Security Authority Subsystem Service (LSASS). Процесс в операционных системах Microsoft Windows, обеспечивающий соблюдение политик безопасности в системе. Он проверяет пользователей, входящих в систему на компьютере или сервере Windows, обрабатывает изменения паролей и создает токены доступа. Именно так происходит единый вход в сети Windows из-за токенов, хранящихся в памяти вашего компьютера, где работает LSASS.

Я показываю, как получить доступ к LSASS из вашего диспетчера задач и сбросить учетные данные, запущенные в памяти, в файл. Мы запускаем этот файл через Mimikatz, чтобы найти пароли и ключи, хранящиеся на машине. Тестеры на проникновение используют это для проверки уязвимостей, и, к сожалению, хакеры используют похожие методы, чтобы украсть у вас.

По моему мнению, наилучшим способом защиты машин на предприятии, помимо использования EDR и AV, является следование концепции наименьших привилегий:
Ограничить доступ к учетной записи локального администратора
Управление процессами Приложение может получить доступ
Своевременный доступ = ХОРОШИЙ UX
MFA = Правильный пользователь
Позвоните кому-нибудь вроде меня

Если вам нравится мой контент, обязательно поставьте лайк и подпишитесь.

Свяжитесь со мной на LinkedIn: https://www.linkedin.com/in/briankrause/

Пожалуйста, воспользуйтесь возможностью и поделитесь этим видео с друзьями и семьей, если вы найдете его полезным.