引言：那个没有密码的"钥匙"

2021年，微软的安全团队披露了一起令人不寒而栗的攻击事件。攻击者利用PetitPotam漏洞，迫使域控制器向恶意服务器发起NTLM认证，然后将这个认证"接力"到Active Directory Certificate Services (AD CS)，申请到域控制器的证书——不需要任何明文密码，攻击者就获得了域管理员的身份。

这就是现代攻击者的"魔法"：他们不需要破解你的密码，他们只需要偷走你的"身份令牌"，然后让系统相信他们就是你。

凭据窃取与横向移动，已经成为网络攻击的核心战场。一旦攻击者在内网站稳脚跟，他们的第一目标不再是植入更多恶意文件，而是获取更多凭据，用这些凭据像钥匙一样打开更多的门。

攻击解剖：Windows认证体系中的"致命缝隙"

LSASS内存窃取：LSASS（Local Security Authority Subsystem Service）是Windows的核心认证进程，缓存着所有登录用户的凭据——包括明文密码（部分场景下）、NTLM哈希、Kerberos票据。Mimikatz通过sekurlsa::logonpasswords模块读取LSASS内存，是最经典的凭据窃取工具。更危险的是，攻击者甚至不需要运行Mimikatz本身——Windows内置的comsvcs.dll就可以转储LSASS内存：rundll32.exe comsvcs.dll FullDump。

Kerberoasting攻击：在Kerberos认证体系中，任何域用户都可以请求任何服务账户的TGS（Ticket-Granting Service）票据。这些票据用服务账户的密码哈希加密。攻击者请求票据后，可以离线暴力破解——如果服务账户使用弱密码，整个域的认证体系就面临沦陷风险。

NTLM中继攻击：当一台主机发起NTLM认证时，攻击者可以"截获"这个认证请求，转发给另一台目标机器。如果目标机器未启用SMB签名，攻击者就能以被认证用户的身份执行代码。PetitPotam正是利用这一点，通过MS-EFSRPC接口强制域控制器向攻击者控制的服务器发起认证。

Pass-the-Hash/Pass-the-Ticket：获取NTLM哈希后，攻击者不需要破解，直接用哈希"冒充"用户身份发起认证。获取Kerberos TGT后，攻击者可以构造"黄金票据"（Golden Ticket）或"银票"（Silver Ticket），长期维持对域的持久控制。

这些技术的共同特点是：一旦成功，攻击者获得的不是某台主机的访问权，而是整个域环境的"万能钥匙"。

EDR构建凭据防护层：看见攻击者的"钥匙"

LSASS访问深度监控：EDR监控所有对lsass.exe进程的访问权限。当非授权进程尝试以0x1010（PROCESS_VM_READ + PROCESS_QUERY_LIMITED_INFORMATION）权限访问LSASS时——这是Mimikatz的标准操作——立即触发告警。即使攻击者使用反射注入、comsvcs.dll或其他规避技术，EDR的ETW（Windows事件跟踪）层仍能捕获这些异常访问。

PPL（Protected Process Light）意识监控：Windows 10/11引入的LSA保护机制，要求非授权进程即使获得句柄也无法读取LSASS内存。EDR监控PPL保护状态的变化——当攻击者尝试绕过PPL时（如利用BGSWitched等内核漏洞），EDR能检测到这种危险行为。

异常认证行为检测：EDR建立每个账户的"认证行为基线"——正常的登录时间、来源IP、目标服务。当出现"非工作时间从海外IP的Kerberos TGS请求"、"同一账户短时间内大量SMB认证失败"、"非管理员账户突然枚举域用户"等异常时，触发凭据窃取预警。

NTLM认证审计：EDR监控所有NTLM认证流量，识别"认证目标异常"（如工作站突然向外部IP发起认证）、"协议降级"（从Kerberos降级到NTLMv2）等可疑信号。

Kerberos票据异常检测：当检测到异常的TGT生命周期（黄金票据通常有超长有效期）、使用RC4加密的TGS请求（暗示Kerberoasting）、或来自非预期源的TGT申请时，EDR能标记这些威胁。

内存凭证保护联动：与Windows Credential Guard、Restricted Admin Mode等原生保护机制联动，EDR能在凭据被窃取前加固环境，在凭据被使用时检测异常。

价值升华：护住凭据，就是护住整个王国

传统安全建设重边界、轻内网——花重金购买防火墙，却让内网的LSASS进程裸奔在每一个员工工作站上。攻击者正是看准了这一点：他们不怕边界坚固，他们只怕你没有看见他们在内部移动。

EDR的真正价值，在于把"看不见的内部移动"变成"可见的异常告警"。一个Hash被用来横向移动时，EDR能检测到它；一个服务账户被Kerberoasting时，EDR能捕获它；一个伪造的黄金票据被使用时，EDR能识别它。

防御凭据攻击，不是把所有密码都改成256位随机字符串——那会让运维陷入瘫痪。而是在每一次凭据被使用的背后，都有一双"行为的眼睛"在注视着。

当攻击者窃取了你的Hash，却发现每一次使用都会触发告警、每一次横向移动都会被记录——这把"万能钥匙"就变成了一把烫手的山芋。

最好的防御，是让攻击者偷到的不是钥匙，而是锁匠的眼睛。