Credential Guard

Credential Guard - это технология изоляции на основе виртуализации для LSASS, которая предотвращает кражу злоумышленниками учетных данных, которые могут быть использованы для атак с использованием хэша. Credential Guard был представлен в операционной системе Microsoft Windows 10. Начиная с Windows 10 версии 20H1, Credential Guard доступен только в корпоративной версии операционной системы.

После компрометации системы злоумышленники часто пытаются извлечь любые сохраненные учетные данные для дальнейшего бокового перемещения по сети. Первичной целью является процесс LSASS, в котором хранятся учетные данные NTLM и Kerberos. Credential Guard не позволяет злоумышленникам сбрасывать учетные данные, хранящиеся в LSASS, путем запуска LSASS в виртуализированном контейнере, к которому не может получить доступ даже пользователь с привилегиями SYSTEM. Затем система создает прокси-процесс под названием LSAIso (LSA Isolated) для связи с виртуализированным процессом LSASS.

Существует несколько общих методов кражи учетных данных в системах с Credential Guard:

• Кейлоггер, запущенный в системе, перехватит любые введенные пароли.
• Пользователь с правами администратора может установить нового поставщика поддержки безопасности (SSP). Новый SSP не сможет получить доступ к сохраненным хэшам паролей, но сможет перехватить все пароли после установки SSP.
• Извлечь сохраненные учетные данные из другого источника, как это выполняется в атаке «Внутренний монолог» (который использует SSPI для получения взломанных хэшей NetNTLMv1).