Credential-Stealer

Ein Credential-Stealer ist ein Werkzeug – manchmal Bestandteil eines umfassenderen Info-Stealers – das gespeicherte oder im Speicher liegende Geheimnisse angreift: Credentials des LSASS-Prozesses unter Windows, Passwortspeicher des Browsers, SSH-Schlüssel, WLAN-Passwörter und gecachte Domain-Credentials. Nach Extraktion ermöglichen die Geheimnisse Lateral Movement, Persistenz, BEC und Credential Stuffing. Mimikatz ist das Paradebeispiel und wird oft per Reflective Loading in den Speicher geladen. Schutzmaßnahmen umfassen Credential Guard, LSA-Schutz, strikte Least-Privilege-Prinzipien, Entfernung lokaler Admin-Rechte, FIDO2-Schlüssel, EDR mit Memory-Scraping-Erkennung und Überwachung verdächtiger Zugriffe auf Credential-Stores.