Zum Inhalt springen

Nächste Ausgabe 6. Juli 2026

Offensive Security

Credential Dumping

Credential Dumping ist das Extrahieren von Anmeldematerial wie Passwort-Hashes oder Klartext-Passwörtern aus einem kompromittierten System (zum Beispiel aus dem LSASS-Speicher oder der SAM-Datenbank), damit sich ein Angreifer als legitimer Benutzer authentifizieren kann.

Autor
Unihackers Team
Lesezeit
3 Min. Lesezeit
Zuletzt aktualisiert

Credential Dumping ist einer der wertvollsten Schritte im Handbuch eines Angreifers, denn es verwandelt eine einzige kompromittierte Maschine in einen Generalschlüssel. Statt weitere Abwehrmechanismen zu durchbrechen, stiehlt der Angreifer einfach die Schlüssel, die legitime Benutzer bereits besitzen, und tritt dann als vertrauenswürdiges Konto durch die Vordertür ein. Deshalb steht der Zugriff auf Anmeldedaten im Zentrum fast jeder ernsthaften Intrusion und schließt die Lücke zwischen einem ersten Brückenkopf und der vollständigen Kontrolle über eine Umgebung.

Woher Anmeldedaten gestohlen werden

Auf einem kompromittierten System liegt Anmeldematerial an mehreren vorhersehbaren Orten, und jeder davon ist ein Ziel:

  • LSASS-Speicher: der Windows-Prozess, der die Anmeldedaten angemeldeter Benutzer zwischenspeichert, einschließlich Hashes und manchmal Klartext.
  • SAM-Datenbank: der lokale Speicher der Passwort-Hashes von Konten auf einem Windows-Host.
  • Zwischengespeicherte Domänen-Anmeldungen und Anmeldedaten-Manager: Geheimnisse, die aufbewahrt werden, damit Benutzer sie nicht erneut eingeben müssen.
  • Konfigurationsdateien und Skripte: fest codierte Passwörter und Tokens, die Administratoren hinterlassen.

Sind sie einmal extrahiert, kann der Angreifer die Hashes offline knacken oder, effizienter, sie direkt über Techniken wie Pass-the-Hash wiederverwenden. MITRE katalogisiert dieses Verhalten als OS Credential Dumping (T1003), eine der am häufigsten genutzten Techniken innerhalb der Credential-Access-Taktik.

Wie es in die Angriffskette passt

Credential Dumping geschieht selten isoliert. Es folgt meist dem Erstzugriff und der Privilege Escalation, denn das Auslesen von LSASS oder der SAM-Datenbank erfordert in der Regel Administrator- oder SYSTEM-Rechte. Mit den gesammelten Anmeldedaten führt der Angreifer dann Lateral Movement durch und springt als legitimer Benutzer von Host zu Host, bis er Domänencontroller oder sensible Daten erreicht.

Da die Technik so verbreitet ist, wird sie im Detail im MITRE ATT&CK-Framework abgebildet, das Sicherheitsteams nutzen, um Erkennungen zu planen und ihre Abdeckung zu messen.

Erkennen und verhindern

In der Verteidigung ist das Ziel, einen Dump sowohl schwer durchführbar als auch nach dem Diebstahl wertlos zu machen:

  • Beschränke und überwache den Zugriff auf LSASS, die SAM-Datenbank und Anmeldedatenspeicher.
  • Setze das Prinzip der minimalen Rechte durch, damit nur wenige Konten Anmeldedaten lesen können.
  • Setze Endpoint-Erkennung ein, die bekannte Dumping-Werkzeuge und Speicherzugriffe meldet.
  • Verlange Multi-Faktor-Authentifizierung, damit ein gestohlener Hash allein keinen Zugriff gewährt.

Ein ausgereiftes Security Operations Center behandelt jedes Anzeichen von Credential Access als hochpriorisierten Hinweis, denn einen Dump rechtzeitig zu erwischen kann eine Intrusion stoppen, bevor sie sich ausbreitet. Beim Credential Dumping beruht der gesamte Vorteil des Angreifers auf Unsichtbarkeit, also gewinnt der Verteidiger, der die Anmeldedatenspeicher am genauesten beobachtet.

Im Bootcamp

Wie wir Credential Dumping unterrichten

In unserem Cybersecurity Bootcamp lernen Sie nicht nur Credential Dumping in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.

Behandelt in:

Modul 10: Penetrationstests und Ethisches Hacking

Verwandte Themen, die Sie beherrschen werden:MetasploitNmapBurp SuitePrivilege Escalation
Sehen Sie, wie wir das unterrichten

360+ Stunden Expertentraining • CompTIA Security+ inklusive