Credential-Stealer
Was ist Credential-Stealer?
Credential-StealerSchadsoftware, die gezielt Passwörter, Hashes und Authentifizierungstoken aus einem infizierten System oder dessen Speicher extrahiert.
Ein Credential-Stealer ist ein Werkzeug – manchmal Bestandteil eines umfassenderen Info-Stealers – das gespeicherte oder im Speicher liegende Geheimnisse angreift: Credentials des LSASS-Prozesses unter Windows, Passwortspeicher des Browsers, SSH-Schlüssel, WLAN-Passwörter und gecachte Domain-Credentials. Nach Extraktion ermöglichen die Geheimnisse Lateral Movement, Persistenz, BEC und Credential Stuffing. Mimikatz ist das Paradebeispiel und wird oft per Reflective Loading in den Speicher geladen. Schutzmaßnahmen umfassen Credential Guard, LSA-Schutz, strikte Least-Privilege-Prinzipien, Entfernung lokaler Admin-Rechte, FIDO2-Schlüssel, EDR mit Memory-Scraping-Erkennung und Überwachung verdächtiger Zugriffe auf Credential-Stores.
● Beispiele
- 01
Mimikatz, das NTLM-Hashes aus dem LSASS-Speicher zieht.
- 02
LaZagne, das Passwörter aus Browsern, WLAN und Anwendungen extrahiert.
● Häufige Fragen
Was ist Credential-Stealer?
Schadsoftware, die gezielt Passwörter, Hashes und Authentifizierungstoken aus einem infizierten System oder dessen Speicher extrahiert. Es gehört zur Kategorie Schadsoftware der Cybersicherheit.
Was bedeutet Credential-Stealer?
Schadsoftware, die gezielt Passwörter, Hashes und Authentifizierungstoken aus einem infizierten System oder dessen Speicher extrahiert.
Wie schützt man sich gegen Credential-Stealer?
Schutzmaßnahmen gegen Credential-Stealer kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Credential-Stealer?
Übliche alternative Bezeichnungen: Password-Stealer, Credential-Dumper.