Credential Access
Was ist Credential Access?
Credential AccessMITRE-ATT&CK-Taktik (TA0006), die Techniken zum Diebstahl von Kontonamen, Passwörtern, Token und anderen Geheimnissen bündelt.
Credential Access (MITRE-ATT&CK-Taktik TA0006) umfasst Techniken, mit denen Angreifer wiederverwendbare Zugangsdaten erbeuten, um sich als legitime Nutzer zu authentifizieren. Beispiele sind das Dumpen des LSASS-Speichers mit Mimikatz, das Auslesen von NTDS.dit auf einem Domänencontroller, der Zugriff auf SAM/SECURITY-Registry-Hives, Browser-Passwortdiebstahl, Kerberoasting, AS-REP-Roasting, das Abgreifen von NTLM-Hashes via Responder, das Lesen von Cloud-Token von der Festplatte, Phishing nach MFA-Codes und OAuth-Consent-Missbrauch. Gestohlene Credentials ermöglichen Lateral Movement, Persistence und Privilege Escalation, häufig ohne malwarebasierte Detektionen auszulösen. Verteidiger setzen auf Credential Guard, LSA-Schutz, starke MFA, Tiered-Admin-Modelle, Passworttresore, anomaliebasierte Logon-Erkennung und sofortiges Sperren bei Verdacht.
● Beispiele
- 01
Ausführung von Mimikatz, um Klartext-Credentials aus dem LSASS-Prozess eines Windows-Servers zu extrahieren.
- 02
Kerberoasting-Angriff, um das TGS eines Dienstkontos offline zu cracken.
● Häufige Fragen
Was ist Credential Access?
MITRE-ATT&CK-Taktik (TA0006), die Techniken zum Diebstahl von Kontonamen, Passwörtern, Token und anderen Geheimnissen bündelt. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Credential Access?
MITRE-ATT&CK-Taktik (TA0006), die Techniken zum Diebstahl von Kontonamen, Passwörtern, Token und anderen Geheimnissen bündelt.
Wie funktioniert Credential Access?
Credential Access (MITRE-ATT&CK-Taktik TA0006) umfasst Techniken, mit denen Angreifer wiederverwendbare Zugangsdaten erbeuten, um sich als legitime Nutzer zu authentifizieren. Beispiele sind das Dumpen des LSASS-Speichers mit Mimikatz, das Auslesen von NTDS.dit auf einem Domänencontroller, der Zugriff auf SAM/SECURITY-Registry-Hives, Browser-Passwortdiebstahl, Kerberoasting, AS-REP-Roasting, das Abgreifen von NTLM-Hashes via Responder, das Lesen von Cloud-Token von der Festplatte, Phishing nach MFA-Codes und OAuth-Consent-Missbrauch. Gestohlene Credentials ermöglichen Lateral Movement, Persistence und Privilege Escalation, häufig ohne malwarebasierte Detektionen auszulösen. Verteidiger setzen auf Credential Guard, LSA-Schutz, starke MFA, Tiered-Admin-Modelle, Passworttresore, anomaliebasierte Logon-Erkennung und sofortiges Sperren bei Verdacht.
Wie schützt man sich gegen Credential Access?
Schutzmaßnahmen gegen Credential Access kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Credential Access?
Übliche alternative Bezeichnungen: Zugangsdaten-Diebstahl, TA0006.
● Verwandte Begriffe
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- defense-ops№ 682
Mimikatz
Ein Open-Source-Windows-Post-Exploitation-Tool, das Klartext-Passwoerter, Hashes, Kerberos-Tickets und weitere Credentials aus dem Speicher und aus LSASS extrahiert.
- malware№ 231
Credential-Stealer
Schadsoftware, die gezielt Passwörter, Hashes und Authentifizierungstoken aus einem infizierten System oder dessen Speicher extrahiert.
- defense-ops№ 606
Lateral Movement
MITRE-ATT&CK-Taktik (TA0008), die Techniken bündelt, mit denen sich Angreifer von einem kompromittierten Host auf weitere Systeme in der Umgebung ausbreiten.
- identity-access№ 013
Active Directory
Unternehmens-Verzeichnisdienst von Microsoft für Windows-Netzwerke, der zentrale Authentifizierung, Autorisierung und Richtlinienverwaltung für Benutzer, Computer und Ressourcen bietet.
- identity-access№ 076
Authentifizierung
Verfahren, mit dem überprüft wird, dass eine Entität – Benutzer, Gerät oder Dienst – tatsächlich diejenige ist, die sie zu sein vorgibt, bevor ein Zugriff gewährt wird.
● Siehe auch
- № 790Pass-the-Hash
- № 583Kerberoasting