文章总结: 本文聚焦Windows内网安全中LSASS凭据防护的关键性,基于AV-Comparatives2026年LSASS专项认证测试结果,分析了LSASS作为攻击者首要目标的原因及主流转储手法(包括离地攻击、API规避等15个用例)。文章指出原生防护不足,需通过开启端点产品专项规则、系统加固、权限管控、行为监控与定期模拟攻击等五方面落地防护,并强调守好LSASS是内网安全的基础。 综合评分: 85 文章分类: 终端安全,技术标准,红队,内网渗透,安全运营
LSASS被攻是内网失守的起点,AVC 2026专项测试给了一套硬核防护思路
原创
GJ GJ
网络与信息安全参考
2026年7月6日 10:10 山东
在小说阅读器读本章
去阅读
做企业安全的人都有体会:Windows内网攻防,说到底就是抢“凭据”。而在所有凭据攻击里,LSASS内存转储算是最常见、也最要命的一种。只要拿到LSASS里的哈希,攻击者基本就等于拿到了内网横向移动的钥匙——从一台普通终端打到域控,只是时间问题。
报告下载地址:
https://av-comparatives.org/wp-content/uploads/2026/05/avc_LSASS_2026_Kaspersky.pdf
最近AV-Comparatives(AVC)发布了“LSASS Credential Dumping Certification 2026”专项认证结果,卡巴斯基端点安全产品通过了认证。结合这份报告,以及卡巴斯基同期发布的《2026网络世界剖析全球安全服务报告》里的攻击数据,我们把这几个问题聊透:
LSASS为什么是攻防双方都盯着的地方?
AVC这次专项测试到底测了什么,含金量够不够?
企业在实际环境里怎么把LSASS防护落地?
一、LSASS:Windows里的“凭据大管家”,也是攻击者的首要目标
先简单说下背景。LSASS(本地安全机构子系统服务)负责管理Windows的登录凭据,包括账号密码、NTLM哈希,甚至部分明文凭据都存在它的内存空间里。攻击者只要能读取这段内存,就能把这些凭据全部导出——不需要破解密码,直接拿哈希做传递,横向渗透整个内网。
所以不管是勒索软件团伙还是APT组织,在拿到一台终端的本地管理员权限后,几乎都会第一时间去Dump LSASS。卡巴斯基2026全球安全报告里的数据也印证了这点:凭据访问长期占据高严重性攻击战术的前列,账户操纵和有效账户利用常年稳居攻击技术TOP3;在真实的事件响应案例中,根据卡巴斯基全球事件响应团队的统计,超过半数的内网横向攻击,起点都是终端 LSASS 内存被转储。
更麻烦的是,攻击手法越来越“隐蔽”。现在早就不只用Mimikatz这种明显的恶意工具了,更多是借助系统自带的comsvcs.dll、rundll32等合法程序做“离地攻击(LotL)”,不落地恶意文件,传统杀毒软件根本拦不住。
正因为LSASS防护的重要性和攻防对抗的快速升级,AVC才专门做了这一项单点专项认证。
二、AVC 2026 LSASS专项测试:15个用例,覆盖从入门到高级的全量手法
有人可能会觉得,一个LSASS防护有什么好单独认证的?但这次测试跟常见的全流程端点防护测评不同,它聚焦单一场景,允许厂商针对这个点做配置优化(比如开启专属防护规则、调整策略强度),更贴近企业实际做“专项加固”时的状态。
测试环境是打全补丁的最新版Windows 11,攻击流程完全模拟真实场景:测试人员先用普通用户权限登录(模拟初始入侵后的低权限状态),再用本地管理员权限执行各种LSASS转储的POC,看产品能不能拦截或告警。
15个用例基本覆盖了当前所有主流的转储手法,挑几个典型的说说:
基础类:MiniDumpWriteDump API调用——这是大多数凭据导出工具的底层依赖;还有ProcDump风格的MIni内存转储,也是实战常客。
离地攻击类:利用系统自带的comsvcs.dll做MiniDump导出,全程使用Windows原生程序,无需上传任何恶意文件,传统静态查杀完全失效。
API规避类:用原始系统调用或间接系统调用绕过用户态钩子;给 ETW 事件跟踪的用户态上报函数打补丁,抹除攻击行为的系统日志痕迹,把攻击痕迹抹掉。
偏门进阶类:通过PssCaptureSnapshot做进程快照、调用未公开的ntdll接口、用NtCreateProcessEx克隆进程、枚举并复制系统句柄、利用SecLogon服务的句柄泄露等——这些都是在真实对抗中用来绕过防护的“骚操作”。
隐蔽多阶段类:将转储动作拆分成多个阶段,比如快照+延迟+加密组合,用来绕过行为检测。
AVC的认证标准是:15个用例中至少要成功拦截或检测到10个(三分之二以上)才能拿证。卡巴斯基端点安全产品在对应配置下全部通过,15个全量覆盖。
说实话,能覆盖到后面那些规避类和偏门类手法,并不容易。市面上很多端点产品能拦住基础的Mimikatz和comsvcs.dll就不错了,遇到系统调用绕过、多阶段转储这类高级手法,基本就是睁眼瞎。
三、为什么原生防护不够用,必须上专项能力?
有人会问:Windows自己不是有LSA保护(PPL)吗?为什么还要额外买安全产品?
问题在于攻防对抗一直在升级。LSA PPL原本是用来阻止未授权进程读取LSASS内存的,但攻击者现在已经有很多成熟的绕过方案了——比如利用合法的脆弱驱动(LOLDriver)拿到内核权限,篡改 LSASS 进程的 PPL 保护属性、绕过权限校验,原生防护就形同虚设。
AVC的报告也提到这个趋势:随着内核级攻击手法增加,2028年的LSASS专项测试会正式加入内核级LSA转储的用例,倒逼厂商提供更底层的防护能力。
结合卡巴斯基报告的实战数据,现在的攻击环境对LSASS防护提出了更高要求:
离地攻击成为主流,静态查杀彻底失效。攻击者偏爱系统自带工具,不落地文件,必须靠针对LSASS的行为级专项监控才能发现。
凭据是攻击链的核心环节。无论是勒索还是APT,拿到终端后的首要目标就是偷凭据、横向扩散。LSASS作为本地凭据的集散地,是第一道也是最关键的一道防线——守不住它,内网安全就是空话。
攻击手法每年都在迭代,从直接API调用到系统调用绕过、ETW屏蔽、多阶段隐蔽转储,再到内核级绕过。如果企业只装个杀毒软件了事,根本挡不住。
四、落地LSASS防护,五件事最管用
理论说再多,不如实操。下面这几件事不需要多高深的技术,做扎实了就能挡住绝大多数攻击。
产品层面:别用默认配置,必须开启专项防护规则很多企业虽然部署了端点安全产品,但LSASS相关的专项规则默认是关闭的。像AVC测试里,厂商也是针对性开启了对应配置才拿到全通过。企业应该立即自查:LSASS内存保护开了没有?凭据访问行为监控是否启用?异常句柄请求有没有拦截?把专项规则打开,防护能力直接上一个大台阶。
系统层面:开启原生加固,抬高门槛原生防护虽然能被绕过,但能过滤掉大量脚本小子的低水平攻击,性价比很高。建议批量启用:LSA保护(RunAsPPL)、Windows Defender Credential Guard(用硬件虚拟化隔离LSASS内存)、禁用不必要的内存转储配置。先把系统自带的盾立起来。
权限层面:收紧高权限,从源头降低风险要Dump LSASS,攻击者必须先拿到本地管理员或调试权限。那就从源头收权:严格控制本地管理员账号数量,普通员工只给最小权限;禁用不必要的用户调试权限;定期清理管理员组里的异常账号。拿不到高权限,自然摸不到LSASS的内存。
运营层面:行为监控+人工分析,抓高级攻击对于会绕过规则的高级攻击,必须搭配EDR/MDR的行为检测能力。重点监控这些异常行为:非系统进程对LSASS的内存读取、对comsvcs.dll的异常调用、可疑的进程快照/克隆操作、针对LSASS的句柄复制。再配合安全运营团队或MDR服务的人工分析,才能把藏得深的高级攻击揪出来。卡巴斯基报告里的数据也表明,MDR服务能在攻击早期发现凭据窃取,平均几十分钟内完成检测和响应,把横向扩散掐死在萌芽阶段。
验证层面:定期做模拟攻击,实测防护效果防护有没有用,不能光看厂商宣传。建议企业定期用Mimikatz、comsvcs.dll乃至更高级的转储工具做内部模拟测试,看自己的端点产品能不能拦、能不能告警。测出短板就立刻优化,别让防护停留在纸面上。
最后说几句
LSASS防护不是什么黑科技,它就是Windows端点安全里最基础、也最关键的一环。我们见过太多内网被攻破的案例,追溯回去,往往就是某台员工终端被钓鱼拿下,黑客顺手Dump了LSASS哈希,然后一路横向移动,没几天就控制了域控,加密了全公司数据。
很多企业热衷于买高端产品、搭复杂体系,却偏偏忽略了LSASS防护这种“基本功”。攻击手法在进化,防护也得跟上。参考AVC这类独立第三方的专项测试来选产品,再配合系统加固、权限管控、运营监控和定期演练,才能真正把LSASS这个“凭据金库”守好,给内网安全打下一个牢靠的底子。
你的企业有没有遇到过LSASS被Dump的攻击?欢迎在评论区聊聊实际经历。
从静态免杀到动态行为检测:EPP必备能力
打破“信任”的枷锁:深度剖析离地生存(LOTL)攻击的原理、进化与终局防御
一次计划内的“公开处刑”:几款主流EPP,能否挡住免杀Mimikatz?
更多 卡巴斯基解决方案 详情,请联系:
高进 – 186 6376 1060
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络与信息安全参考 GJ GJ《LSASS被攻是内网失守的起点,AVC 2026专项测试给了一套硬核防护思路》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论