摘要：网络安全研究人员发现一种新型攻击技术，可绕过大多数终端检测与响应（EDR）系统的监控，静默窃取Windows系统中的敏感凭证信息。该技术使已获取Windows系统初始访问权限的攻击者能够收集凭证进行横向移动，而不会触发常见安全警报。

网络安全研究人员发现一种新型攻击技术，可绕过大多数终端检测与响应（EDR）系统的监控，静默窃取Windows系统中的敏感凭证信息。该技术使已获取Windows系统初始访问权限的攻击者能够收集凭证进行横向移动，而不会触发常见安全警报。

Windows凭证管理机制

本地安全认证子系统（LSA）通过lsass.exe进程管理敏感信息，其使用两个与磁盘注册表配置单元对应的内存数据库：

SAM数据库：管理用户、组和别名对象，对应SAM注册表配置单元。存储用户凭证但无直接获取明文凭证的API接口

安全数据库：管理策略、信任域、账户和机密对象，对应SECURITY注册表配置单元。存储LSA机密信息如缓存的域凭证和机器密钥

虽然可通过RPC接口（MS-SAMR和MS-LSAD）管理这些数据库，但缺乏直接解密存储机密的简单方法。访问凭证需要直接与SAM和SECURITY注册表配置单元交互，这些配置单元受自由访问控制列表（DACL）保护，仅限SYSTEM权限账户访问。其中敏感数据（如用户凭证和机器密钥）均经过加密，解密还需从SYSTEM配置单元获取额外值以重建解密密钥。

现代安全工具能检测大多数已知的凭证窃取技术。例如与lsass.exe进程内存交互这类高风险行为，通常会立即触发EDR和Windows Defender的警报。EDR解决方案主要依赖内核模式回调例程监控系统活动，通过CmRegisterCallbackEx等函数注册后，Windows内核会在发生特定事件（如注册表访问）时通知EDR驱动。当进程尝试读取HKLM\SAM或HKLM\SECURITY等敏感键值时，EDR可阻断操作或发出警报。出于性能考虑，EDR通常仅监控高风险API调用和注册表路径，而非所有系统操作。

新型静默窃取技术

研究人员Sud0Ru发现的新型双重攻击技术，可利用鲜为人知的Windows内部机制绕过防御：

利用NtOpenKeyEx绕过访问控制：通过调用未公开的本地APINtOpenKeyEx并启用SeBackupPrivilege（管理员可用）权限，配合REG_OPTION_BACKUP_RESTORE标志，可绕过受保护注册表键的标准ACL检查，直接读取SAM和SECURITY配置单元而无需SYSTEM权限

使用RegQueryMultipleValuesW规避检测：获取访问权限后，采用非常用APIRegQueryMultipleValuesW读取注册表值。由于多数EDR未将该API纳入监控规则，攻击者可逐次读取SAM和SECURITY配置单元中的加密机密而不触发警报

该组合技术使整个操作在内存中完成，不产生磁盘痕迹且避开常规恶意行为检测。虽然解密窃取数据仍需单独处理，但该技术证明即使成熟的防御系统也可能被操作系统自身被忽视的合法功能所绕过。

来源：小王论科技