T1547.005: Поставщик поддержки безопасности (SSP)
Злоумышленники могут использовать поставщики поддержки безопасности (SSP) для запуска DLL-библиотек при загрузке системы. В Windows DLL-библиотеки SSP загружаются в память процесса локальной системы безопасности (LSA) при запуске системы. После загрузки в LSA DLL-библиотеки SSP получают доступ к хранящимся в Windows зашифрованным и незашифрованным паролям, например паролям доменов любых вошедших в систему пользователей или PIN-кодам смарт-карт.
Конфигурация SSP хранится в двух ключах реестра: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
и HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages
. Злоумышленник может изменить эти ключи реестра, чтобы добавить новые SSP, которые будут загружаться при следующем запуске системы или при вызове API-функции Windows AddSecurityPackage.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-566: LSA_SSP_Change: Изменены значения параметров реестра, в которых прописаны пути к библиотекам Security Support Provider (SSP)
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска DLL-библиотек с помощью поставщиков поддержки безопасности (SSP) при загрузке системы. |
---|
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте загрузки DLL в процессы LSA. В Windows 8.1 и Windows Server 2012 R2 события могут создаваться в тех случаях, когда неподписанные DLL-библиотеки SSP пытаются загрузиться в LSA, устанавливая в ключе реестра |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в реестре, связанные с ключами реестра SSP. В Windows 8.1 и Windows Server 2012 R2 события могут создаваться в тех случаях, когда неподписанные DLL-библиотеки SSP пытаются загрузиться в LSA, устанавливая в ключе реестра |
---|
Меры противодействия
ID | M1025 | Название | Целостность привилегированных процессов | Описание | В Windows 8.1, Windows Server 2012 R2 и более поздних версиях можно принудительно запускать LSA как Protected Process Light (PPL), установив ключ реестра |
---|