T1003.004: Секреты LSA

Злоумышленники, имеющие доступ к хосту от имени учетной записи SYSTEM, могут попытаться получить доступ к секретам локальной системы безопасности (LSA), которые могут содержать множество различных учетных данных, например данные учетных записей служб. Секреты LSA хранятся в ключе реестра HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets. Кроме того, можно выполнить дамп секретов LSA из памяти.

Для извлечения данных из реестра может использоваться утилита reg. Для извлечения секретов из памяти может использоваться Mimikatz.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

active_directory_attacks: PT-CR-2542: RemoteKrbRelay_Usage: Пользователь, не являющийся инициатором подключения, прошел аутентификацию Kerberos. Это может быть признаком использования утилиты RemoteKrbRelay, которая позволяет удаленно провоцировать и ретранслировать Kerberos-аутентификацию с целью получить доступ к какой-либо службе с уровнем привилегий целевой учетной записи, используя техники CertifiedDCOM и SilverPotato mitre_attck_cred_access: PT-CR-566: LSA_SSP_Change: Изменены значения параметров реестра, в которых прописаны пути к библиотекам Security Support Provider (SSP) mitre_attck_cred_access: PT-CR-311: Remote_Password_Dump: Удаленный доступ к SAMR, WINREG, SVCCTL и C:\Windows\system32 в течение 30 секунд после проверки подлинности пользователя mitre_attck_cred_access: PT-CR-2484: SharpSecretsdump_Usage: Признаки использования утилиты SharpSecretsdump на языке C#, являющейся интерпретацией утилиты secretsdump.py из пакета Impacket. Утилиту можно запускать только локально на узлах без использования службы удаленного реестра (в отличие от secretsdump.py), что позволяет злоумышленнику обойти существующие правила межсетевых экранов, систем EDR, IDS и других средств защиты и получить секреты от скомпрометированного узла mitre_attck_cred_access: PT-CR-301: Credential_Dump_In_Local_Registry: Обнаружена возможная выгрузка учетных данных пользователей hacking_tools: PT-CR-2237: Go_Secdump_Activity: Использована утилита go-secdump, позволяющая удаленно извлекать хеши из кустов реестра без какого-либо удаленного агента и обращения к диску hacking_tools: PT-CR-2118: AdPEAS_Usage: Запущен сценарий adPEAS для разведки в домене hacking_tools: PT-CR-585: Impacket_Secretsdump: Обнаружено использование утилиты Secretsdump из набора Impacket hacking_tools: PT-CR-758: Lazagne_Usage: Обнаружено использование утилиты LaZagne для создания дампа учетных данных

Способы обнаружения

IDDS0024Источник и компонент данныхРеестр Windows: Доступ к ключу реестра WindowsОписание

Отслеживайте попытки получения доступа к секретам LSA, которые хранятся в разделе реестра HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения доступа к узлу и секретам локальной системы безопасности (LSA). Работая со средствами удаленного доступа, злоумышленники могут использовать их встроенные функции или интегрировать их с имеющимися инструментами, например Mimikatz. Некоторые сценарии PowerShell также позволяют создавать дампы учетных данных, например модуль PowerSploit Invoke-Mimikatz. Для сбора данных о работе этого модуля и их последующего анализа может потребоваться дополнительная настройка функций журналирования.

Меры противодействия

IDM1017НазваниеОбучение пользователейОписание

Чтобы избежать дублирования учетных данных в разных учетных записях и системах, научите пользователей и администраторов не использовать один и тот же пароль для нескольких учетных записей.

IDM1027НазваниеПарольные политикиОписание

Проследите, чтобы учетные записи локальных администраторов на всех системах в сети имели сложные уникальные пароли.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Следуйте лучшим практикам разработки и администрирования корпоративной сети, чтобы ограничить использование привилегированных учетных записей на всех административных уровнях.