Похититель учётных данных

Похититель учётных данных — это инструмент, иногда являющийся модулем более крупного инфостилера, нацеленный на сохранённые или находящиеся в памяти секреты: учётные данные процесса LSASS в Windows, парольные хранилища браузера, SSH-ключи, пароли Wi-Fi и кешированные доменные учётные данные. Полученные секреты дают возможность горизонтального перемещения, закрепления, BEC и credential stuffing. Архетип — Mimikatz, часто загружаемый в память рефлективно. Защита: Credential Guard, защита LSA, строгий принцип минимальных привилегий, отказ от локальных админских прав, FIDO2 вместо паролей, EDR с обнаружением memory scraping и мониторинг подозрительных обращений к хранилищам учётных данных.