{"id":225617,"date":"2019-12-03T07:25:35","date_gmt":"2019-12-03T06:25:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=225617"},"modified":"2019-12-03T07:38:57","modified_gmt":"2019-12-03T06:38:57","slug":"microsoft-defender-atp-credential-theft-bypassing","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/12\/03\/microsoft-defender-atp-credential-theft-bypassing\/","title":{"rendered":"Microsoft Defender ATP Credential-Theft bypassing?"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/12\/03\/microsoft-defender-atp-credential-theft-bypassing\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Kurzer Sicherheitssplitter zum Morgen. Sicherheitsforscher haben einen Ansatz gefunden, um den Schutz bzw. die Erkennung von Angriffen auf den Diebstahl von Anmeldeinformationen auszutricksen und zu umgehen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/86f49c0ca3ca4ab9a8d3688387c0ae13\" alt=\"\" width=\"1\" height=\"1\" \/>Microsoft Defender ATP bietet erweiterte Erkennungssensoren f\u00fcr Sicherheitsverletzungen (siehe auch <a href=\"https:\/\/docs.microsoft.com\/de-de\/azure\/security-center\/security-center-wdatp\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>). \u00dcber Windows Defender Credential Guard stehen zudem virtualisierungsbasierte Sicherheitsfunktionen in Windows 10 zur Verf\u00fcgung. Der Versuch, Anmeldeinformationen \u00fcber Mimikatz und Co. aus dem Speicher auszulesen, sollte daher erkannt und als Bedrohung gemeldet werden.<\/p>\n<h2>Defender ATP Credential-Theft-Erkennung umgehen<\/h2>\n<p>Gerade bin ich auf den nachfolgenden Tweet gesto\u00dfen, der sich damit befasst, die Schutzmechanismen des Microsoft Defender ATP zum Erkennen und Warnen vor einem Diebstahl von Anmeldeinformationen zu umgehen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Evading WinDefender ATP credential-theft: a hit after a hit-and-miss start.<br \/>\ntl;dr PssCaptureSnapshot syscall clones the process then you don't need to do ReadProcessMemory against the original process and avoid LSASS read detection.<a href=\"https:\/\/t.co\/Z4pc45xrqU\">https:\/\/t.co\/Z4pc45xrqU<\/a><\/p>\n<p>\u2014 scriptjunkie (@scriptjunkie1) <a href=\"https:\/\/twitter.com\/scriptjunkie1\/status\/1201539578395578368?ref_src=twsrc%5Etfw\">December 2, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Im verlinkten Artikel wird gezeigt, wie sich Anmeldeinformation stehlen lie\u00dfen. Und es wird ein Vorschlag gemacht, mit Sysmon LSASS zu \u00fcberwachen und jeden eventID 10 zu \u00fcberpr\u00fcfen, ob ein Versuch stattfindet, um Anmeldeinformationen zu stehlen. Wer sich f\u00fcr das Thema interessiert, findet im Artikel die betreffenden Details. Aktuell kann ich nicht beurteilen, wie praxisnah das Ganze ist.<\/p>\n<p>Der aktuelle Stand ist, dass die Schwachstelle am 2.11.2019 an das <em>Microsoft Security Response Center <\/em>MSRC gemeldet wurde. Das MSRC hat am 12.11.2019 mitgeteilt, dass das Ganze nicht in ein Bug-Bounty-Programm f\u00e4llt und wollte das Ganze analysieren und dann auf die Sicherheitsforscher zukommen. Trotz zweifacher Erinnerung ist das nicht passiert, so dass die Entdecker der Schwachstelle diese nach Ablauf der gew\u00e4hrten 30 t\u00e4gigen Schweigefrist am 2. Dezember 2019 ver\u00f6ffentlicht haben.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kurzer Sicherheitssplitter zum Morgen. Sicherheitsforscher haben einen Ansatz gefunden, um den Schutz bzw. die Erkennung von Angriffen auf den Diebstahl von Anmeldeinformationen auszutricksen und zu umgehen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-225617","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/225617","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=225617"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/225617\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=225617"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=225617"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=225617"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}