Техника на mitre.org

T1003.004: Секреты LSA

Злоумышленники, имеющие доступ к хосту от имени учетной записи SYSTEM, могут попытаться получить доступ к секретам локальной системы безопасности (LSA), которые могут содержать множество различных учетных данных, например данные учетных записей служб. Секреты LSA хранятся в ключе реестра HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets. Кроме того, можно выполнить дамп секретов LSA из памяти.

Для извлечения данных из реестра может использоваться утилита reg. Для извлечения секретов из памяти может использоваться Mimikatz.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

hacking_tools: PT-CR-758: Lazagne_Usage: Обнаружено использование утилиты LaZagne для создания дампа учетных данных hacking_tools: PT-CR-2237: Go_Secdump_Activity: Использована утилита go-secdump, позволяющая удаленно извлекать хеши из кустов реестра без какого-либо удаленного агента и обращения к диску hacking_tools: PT-CR-585: Impacket_Secretsdump: Обнаружено использование утилиты Secretsdump из набора Impacket hacking_tools: PT-CR-2118: AdPEAS_Usage: Запущен сценарий adPEAS для разведки в домене active_directory_attacks: PT-CR-2542: RemoteKrbRelay_Usage: Пользователь, не являющийся инициатором подключения, прошел аутентификацию Kerberos. Это может быть признаком использования утилиты RemoteKrbRelay, которая позволяет удаленно провоцировать и ретранслировать Kerberos-аутентификацию с целью получить доступ к какой-либо службе с уровнем привилегий целевой учетной записи, используя техники CertifiedDCOM и SilverPotato mitre_attck_cred_access: PT-CR-2484: SharpSecretsdump_Usage: Признаки использования утилиты SharpSecretsdump на языке C#, являющейся интерпретацией утилиты secretsdump.py из пакета Impacket. Утилиту можно запускать только локально на узлах без использования службы удаленного реестра (в отличие от secretsdump.py), что позволяет злоумышленнику обойти существующие правила межсетевых экранов, систем EDR, IDS и других средств защиты и получить секреты от скомпрометированного узла mitre_attck_cred_access: PT-CR-311: Remote_Password_Dump: Удаленный доступ к SAMR, WINREG, SVCCTL и C:\Windows\system32 или C:\Windows\Temp в течение 90 секунд mitre_attck_cred_access: PT-CR-566: LSA_SSP_Change: Изменены значения параметров реестра, в которых прописаны пути к библиотекам Security Support Provider (SSP) mitre_attck_cred_access: PT-CR-301: Credential_Dump_In_Local_Registry: Обнаружена возможная выгрузка учетных данных пользователей

Способы обнаружения

ID	DS0024	Источник и компонент данных	Реестр Windows: Доступ к ключу реестра Windows	Описание	Отслеживайте попытки получения доступа к секретам LSA, которые хранятся в разделе реестра `HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets`.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения доступа к узлу и секретам локальной системы безопасности (LSA). Работая со средствами удаленного доступа, злоумышленники могут использовать их встроенные функции или интегрировать их с имеющимися инструментами, например Mimikatz. Некоторые сценарии PowerShell также позволяют создавать дампы учетных данных, например модуль PowerSploit Invoke-Mimikatz. Для сбора данных о работе этого модуля и их последующего анализа может потребоваться дополнительная настройка функций журналирования.

ID	Источник и компонент данных	Описание
DS0024	Реестр Windows: Доступ к ключу реестра Windows	Отслеживайте попытки получения доступа к секретам LSA, которые хранятся в разделе реестра `HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets`.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения доступа к узлу и секретам локальной системы безопасности (LSA). Работая со средствами удаленного доступа, злоумышленники могут использовать их встроенные функции или интегрировать их с имеющимися инструментами, например Mimikatz. Некоторые сценарии PowerShell также позволяют создавать дампы учетных данных, например модуль PowerSploit Invoke-Mimikatz. Для сбора данных о работе этого модуля и их последующего анализа может потребоваться дополнительная настройка функций журналирования.

Меры противодействия

ID	M1027	Название	Парольные политики	Описание	Проследите, чтобы учетные записи локальных администраторов на всех системах в сети имели сложные уникальные пароли.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Следуйте лучшим практикам разработки и администрирования корпоративной сети, чтобы ограничить использование привилегированных учетных записей на всех административных уровнях.

ID	M1017	Название	Обучение пользователей	Описание	Чтобы избежать дублирования учетных данных в разных учетных записях и системах, научите пользователей и администраторов не использовать один и тот же пароль для нескольких учетных записей.

ID	Название	Описание
M1027	Парольные политики	Проследите, чтобы учетные записи локальных администраторов на всех системах в сети имели сложные уникальные пароли.
M1026	Управление привилегированными учетными записями	Следуйте лучшим практикам разработки и администрирования корпоративной сети, чтобы ограничить использование привилегированных учетных записей на всех административных уровнях.
M1017	Обучение пользователей	Чтобы избежать дублирования учетных данных в разных учетных записях и системах, научите пользователей и администраторов не использовать один и тот же пароль для нескольких учетных записей.