Microsoft는 LSASS 프로세스에서 Windows 자격 증명을 훔치려는 해커의 시도를 차단하기 위해 기본적으로 Microsoft Defender '공격 표면 감소' 보안 규칙을 활성화하고 있습니다. 위협 행위자가 네트워크를 손상시키면 자격 증명을 훔치거나 익스플로잇을 사용하여 측면으로 다른 장치로 확산을 시도합니다. Windows 자격 증명을 도용하는 가장 일반적인 방법 중 하나는 손상된 장치에 대한 관리자 권한을 얻은 다음 Windows에서 실행되는 LSASS(Local Security Authority Server Service) 프로세스의 메모리를 덤프하는 것입니다. 이 메모리 덤프에는 컴퓨터에 로그인한 사용자의 Windows 자격 증명에 대한 NTLM 해시가 포함되어 있어 일반 텍스트 암호..
