T1547.005: Поставщик поддержки безопасности (SSP)

Злоумышленники могут использовать поставщики поддержки безопасности (SSP) для запуска DLL-библиотек при загрузке системы. В Windows DLL-библиотеки SSP загружаются в память процесса локальной системы безопасности (LSA) при запуске системы. После загрузки в LSA DLL-библиотеки SSP получают доступ к хранящимся в Windows зашифрованным и незашифрованным паролям, например паролям доменов любых вошедших в систему пользователей или PIN-кодам смарт-карт.

Конфигурация SSP хранится в двух ключах реестра: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages и HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages. Злоумышленник может изменить эти ключи реестра, чтобы добавить новые SSP, которые будут загружаться при следующем запуске системы или при вызове API-функции Windows AddSecurityPackage.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-566: LSA_SSP_Change: Изменены значения параметров реестра, в которых прописаны пути к библиотекам Security Support Provider (SSP)

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска DLL-библиотек с помощью поставщиков поддержки безопасности (SSP) при загрузке системы.

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте загрузки DLL в процессы LSA. В Windows 8.1 и Windows Server 2012 R2 события могут создаваться в тех случаях, когда неподписанные DLL-библиотеки SSP пытаются загрузиться в LSA, устанавливая в ключе реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe значение параметра AuditLevel = 8 .

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в реестре, связанные с ключами реестра SSP. В Windows 8.1 и Windows Server 2012 R2 события могут создаваться в тех случаях, когда неподписанные DLL-библиотеки SSP пытаются загрузиться в LSA, устанавливая в ключе реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe значение параметра AuditLevel = 8 .

Меры противодействия

IDM1025НазваниеЦелостность привилегированных процессовОписание

В Windows 8.1, Windows Server 2012 R2 и более поздних версиях можно принудительно запускать LSA как Protected Process Light (PPL), установив ключ реестра HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL, который требует, чтобы все библиотеки SSP DLL были подписаны Microsoft .