Матрица MITRE ATT&CK

Техника на mitre.org

T1547.002: Пакет аутентификации

Злоумышленники могут использовать пакеты аутентификации для запуска DLL-библиотек при загрузке системы. DLL-библиотеки пакетов аутентификации Windows загружаются процессом локальной системы безопасности (LSA) при запуске системы. Они нужны для поддержки различных процессов входа в систему и протоколов безопасности операционной системы.

Злоумышленники могут использовать механизм автозапуска, предоставляемый пакетами аутентификации LSA, для закрепления в системе, поместив ссылку на бинарный файл в ключ HKLM\SYSTEM\CurrentControlSet\Control\Lsa</code> реестра Windows: "Authentication Packages"=<target binary>. Этот бинарный файл будет запускаться системой при загрузке пакетов аутентификации.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут запускать DLL-библиотеки с помощью пакетов аутентификации при загрузке системы.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте изменения в реестре, связанные с ключами реестра LSA. В Windows 8.1 и Windows Server 2012 R2 события могут создаваться в тех случаях, когда неподписанные DLL-библиотеки пытаются загрузиться в LSA, устанавливая в ключе реестра `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe` значение параметра AuditLevel = 8 .

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	Отслеживайте загрузки DLL в процессы LSA. В Windows 8.1 и Windows Server 2012 R2 события могут создаваться в тех случаях, когда неподписанные DLL-библиотеки пытаются загрузиться в LSA, устанавливая в ключе реестра `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe` значение параметра AuditLevel = 8 .

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут запускать DLL-библиотеки с помощью пакетов аутентификации при загрузке системы.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте изменения в реестре, связанные с ключами реестра LSA. В Windows 8.1 и Windows Server 2012 R2 события могут создаваться в тех случаях, когда неподписанные DLL-библиотеки пытаются загрузиться в LSA, устанавливая в ключе реестра `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe` значение параметра AuditLevel = 8 .
DS0011	Модуль: Загрузка модуля	Отслеживайте загрузки DLL в процессы LSA. В Windows 8.1 и Windows Server 2012 R2 события могут создаваться в тех случаях, когда неподписанные DLL-библиотеки пытаются загрузиться в LSA, устанавливая в ключе реестра `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe` значение параметра AuditLevel = 8 .

Меры противодействия

ID	M1025	Название	Целостность привилегированных процессов	Описание	В Windows 8.1, Windows Server 2012 R2 и более поздних версиях можно принудительно запускать LSA как Protected Process Light (PPL), установив ключ реестра `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL`, который требует, чтобы все DLL, загружаемые LSA, были подписаны Microsoft .

ID	Название	Описание
M1025	Целостность привилегированных процессов	В Windows 8.1, Windows Server 2012 R2 и более поздних версиях можно принудительно запускать LSA как Protected Process Light (PPL), установив ключ реестра `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL`, который требует, чтобы все DLL, загружаемые LSA, были подписаны Microsoft .