Hackers roubam segredos e credenciais das janelas não detectadas pela EDR Detection

Hackers roubam segredos e credenciais das janelas não detectadas pela EDR Detection

Um pesquisador de segurança cibernética revelou um novo método sofisticado para extrair credenciais e segredos do Windows que evita com êxito a detecção pela maioria das soluções de detecção e resposta de terminais (EDR) atualmente implantadas em ambientes corporativos.

A técnica, apelidada de “Silent Harvest”, aproveita as APIs obscuras do Windows para acessar dados de registro sensíveis sem acionar alertas de segurança comuns.

A inovação representa um avanço significativo em Operações da equipe vermelha e destaca lacunas críticas na forma como as soluções de segurança monitoram as atividades do sistema.

Diferentemente dos métodos tradicionais de colheita de credenciais que são cada vez mais detectados e bloqueados pelas defesas modernas, essa abordagem opera inteiramente na memória sem criar artefatos reveladores que os produtos EDR normalmente monitoram.

Detecção de coleta de credenciais aumenta

As técnicas tradicionais de extração de credenciais do Windows tornaram -se cada vez mais confiáveis ​​à medida que as soluções de segurança evoluíram.

A maioria dos métodos existentes depende de abordagens bem conhecidas, como a criação de cópias de backup de colméias de registro sensíveis, permitindo acesso ao registro remoto ou interagindo diretamente com o processo de Serviço de Subsistema de Segurança Local (LSASS) fortemente monitorado.

A Autoridade de Segurança Local do Windows gerencia as credenciais através de dois componentes críticos:

  • Banco de dados SAM: Armazena usuários do Windows, grupos e credenciais locais em formato criptografado.
  • Banco de dados de política de segurança: Contém credenciais de domínio em cache, Chaves da máquinae segredos da LSA.
  • Armazenamento de registro: Ambos os bancos de dados correspondem ao SAM protegido e às colméias do registro de segurança no disco.
  • Requisitos de acesso: O acesso padrão normalmente requer privilégios no nível do sistema para interação direta do registro.

No entanto, o acesso a essas colméias de registro protegidas normalmente requer privilégios no nível do sistema e gera evidências forenses significativas.

Os métodos atuais geralmente envolvem a criação de cópias de backup de colméias de registro no disco ou permitir serviços de registro remoto, os quais deixam indicadores claros de compromisso que as ferramentas de segurança modernas detectam prontamente.

As soluções modernas da EDR empregam mecanismos sofisticados de detecção centrados nas rotinas de retorno de chamada no modo de kernel que monitoram eventos críticos do sistema.

Esses produtos de segurança registram retornos de chamada no kernel do Windows usando funções como o CMRegisterCallBackBex para receber notificações sempre que ocorrerem operações de registro.

Quando as tentativas de acesso ao registro são feitas, o kernel fornece aos drivers de EDR informações detalhadas de contexto, incluindo o tipo de operação específico e o caminho completo da chave ou valor do registro direcionado.

Isso permite que as soluções de segurança identifiquem atividades suspeitas direcionadas a locais sensíveis, como HKLM SAM e HKLM Security.

Para manter o desempenho do sistema, Produtos EDR Monitore seletivamente apenas as operações de registro mais relevantes para a segurança, em vez de rastrear todos os eventos do sistema.

Essa abordagem focada lhes permite detectar tentativas de colheita de credenciais, minimizando o impacto do desempenho nas operações normais do sistema.

Colheita silenciosa via Windows APIs

O novo método de colheita silencioso contorna as restrições de controle de acesso e a detecção de EDR combinando duas APIs subutilizadas do Windows.

A técnica usa o NTopenKeyEx com o sinalizador reg_option_backup_restore, que ignora a lista de controle de acesso normal (ACL) quando o chamador ativou o sebackupprilege.

Mais criticamente, o método emprega RegQueryMultipleValuesw para ler os valores do registro em vez de APIs comumente monitoradas como RegQueryValueExw ou NtQueryValueKey.

Essa função raramente usada parece ter sido ignorada pelos fornecedores da EDR ao desenvolver suas regras de monitoramento, permitindo acessar dados confidenciais sem acionar alertas de segurança.

Testando em várias plataformas EDR confirmado Que o RegQueryMultipleValuesw chama contra valores de registro altamente sensíveis geraram alertas de segurança zero.

Toda a operação ocorre na memória sem criar backups do Registry Hive ou chamando APIs com frequência, dificultando a detecção com as soluções de segurança atuais.

Esta pesquisa ressalta o jogo em andamento de gato e rato entre pesquisadores de segurança e tecnologias defensivas, destacando como a funcionalidade do sistema esquecida pode fornecer novos caminhos para contornar os controles de segurança estabelecidos.

Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.