T1547.008: Драйвер LSASS

Злоумышленники могут изменять или добавлять драйверы LSASS для закрепления в скомпрометированной системе. Подсистема безопасности Windows — это набор компонентов, которые обеспечивают и контролируют выполнение политики безопасности для компьютера или домена. Локальная система безопасности (LSA) — это основной компонент, отвечающий за локальную политику безопасности и аутентификацию пользователей. LSA включает в себя множество динамических библиотек (DLL), связанных с другими функциями безопасности, и все они работают в контексте процесса службы LSASS (lsass.exe).

Злоумышленники могут эксплуатировать драйверы LSASS для закрепления в системе. Заменяя драйверы или добавляя нелегитимные драйверы (например, путем перехвата потока исполнения), злоумышленник может использовать LSA для систематического выполнения полезной нагрузки.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-770: Lsass_DLL_Injection: Внедрение библиотеки в процесс сервиса проверки подлинности локальной системы безопасности (LSASS). После входа пользователя в систему система создает различные учетные данные и хранит их в памяти процесса LSASS

Способы обнаружения

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Также отслеживайте загрузку DLL процессом lsass.exe .

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут изменять или добавлять драйверы LSASS для закрепления в скомпрометированной системе.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах, с помощью которых злоумышленники могут изменять или добавлять драйверы LSASS для закрепления в скомпрометированной системе.

IDDS0027Источник и компонент данныхДрайвер: Загрузка драйвераОписание

При включенной защите LSA отслеживайте в журналах событий все неудачные попытки загрузки плагинов и драйверов LSA (события с идентификаторами 3033 и 3063) . Используйте утилиту Sysinternals Autoruns/Autorunsc для анализа загруженных драйверов, связанных с LSA.

Меры противодействия

IDM1025НазваниеЦелостность привилегированных процессовОписание

В Windows 8.1 и Server 2012 R2 включите защиту LSA, установив для ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL значение dword:00000001 . LSA Protection гарантирует, что подключаемые модули и драйверы LSA будут загружаться только в том случае, если они имеют цифровую подпись Microsoft и соответствуют руководству Microsoft Security Development Lifecycle (SDL).

IDM1043НазваниеЗащита от получения учетных данныхОписание

В Windows 10 и Windows Server 2016 включите Credential Guard, чтобы запустить lsass.exe в изолированной виртуализированной среде без драйверов устройств .

IDM1044НазваниеОграничение загрузки библиотекОписание

Проследите, чтобы был включен режим безопасного поиска DLL HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode — это поможет снизить риск того, что lsass.exe загрузит библиотеку вредоносного кода .