恶意软件
凭据窃取程序
别称: 密码窃取器, 凭据导出工具
定义
专门用于从受感染系统或其内存中提取密码、哈希和认证令牌的恶意软件。
凭据窃取程序是一类专门窃取凭据的工具,有时是大型信息窃取木马的组件。它会针对存储或内存中的机密信息,如 Windows LSASS 进程中的凭据、浏览器密码库、SSH 密钥、Wi-Fi 密码以及缓存的域凭据等。一旦得手,这些凭据可用于横向移动、维持驻留、商业邮件诈骗(BEC)和凭据填充攻击。Mimikatz 是其典型代表,通常以反射方式加载到内存中执行。常见防御措施包括 Credential Guard、LSA 保护、严格的最小权限、移除本地管理员权限、使用 FIDO2 安全密钥取代密码、具备内存检测能力的 EDR,以及监控对凭据存储位置的可疑访问。
示例
- Mimikatz 从 LSASS 内存中提取 NTLM 哈希。
- LaZagne 从浏览器、Wi-Fi 和应用程序中提取密码。
相关术语
信息窃取木马
一种从受感染设备中收集凭据、Cookie、令牌、加密钱包等敏感数据并外传给攻击者的恶意软件。
键盘记录器
记录用户按键的软件或硬件,常被用于窃取密码、金融数据或消息内容。
撞库攻击
利用某一服务泄露的大量用户名/密码组合,在其他服务上自动重放登录,利用用户密码复用接管账户的攻击。
Kerberos
基于票据的网络认证协议,利用对称加密和受信的密钥分发中心实现跨服务的安全单点登录。
NTLM 认证
一种基于挑战-响应的传统 Windows 认证协议,通过用户密码哈希证明身份,以现代标准衡量已被视为弱协议。
特权访问管理(PAM)
一套用于保护、控制、监控和审计具有管理员或更高权限账户与系统访问的实践与工具。