Hasło słownika

LSASS

Proces Windows odpowiedzialny m.in. za uwierzytelnianie i polityki bezpieczeństwa - częsty cel ataków kradnących poświadczenia.

Cyberbezpieczeństwokategoria
2aliasy
Kategoria: Cyberbezpieczeństwo
Aliasy: Local Security Authority Subsystem Service lsass.exe

Opis

LSASS (lsass.exe) bierze udział w logowaniu i zarządzaniu bezpieczeństwem w Windows. Atakujący często próbują wyciągnąć z niego poświadczenia (credential dumping), żeby zrobić ruch boczny (lateral movement) i eskalować dostęp. Dlatego LSASS i jego ochrona to częsty temat w raportach o APT/ransomware.

Przykłady

  • EDR wykrywa próbę zrzutu pamięci lsass.exe przez podejrzany proces.
  • Po przejęciu jednego hosta atakujący próbuje dobrać się do LSASS, by zdobyć hasła/tokeny.
EDRIncident ResponseLeast privilegeMFAPrzejęcie sesjiMalware