T1547.008: Драйвер LSASS
Злоумышленники могут изменять или добавлять драйверы LSASS для закрепления в скомпрометированной системе. Подсистема безопасности Windows — это набор компонентов, которые обеспечивают и контролируют выполнение политики безопасности для компьютера или домена. Локальная система безопасности (LSA) — это основной компонент, отвечающий за локальную политику безопасности и аутентификацию пользователей. LSA включает в себя множество динамических библиотек (DLL), связанных с другими функциями безопасности, и все они работают в контексте процесса службы LSASS (lsass.exe).
Злоумышленники могут эксплуатировать драйверы LSASS для закрепления в системе. Заменяя драйверы или добавляя нелегитимные драйверы (например, путем перехвата потока исполнения), злоумышленник может использовать LSA для систематического выполнения полезной нагрузки.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-770: Lsass_DLL_Injection: Внедрение библиотеки в процесс сервиса проверки подлинности локальной системы безопасности (LSASS). После входа пользователя в систему система создает различные учетные данные и хранит их в памяти процесса LSASS
Способы обнаружения
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Также отслеживайте загрузку DLL процессом lsass.exe . |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут изменять или добавлять драйверы LSASS для закрепления в скомпрометированной системе. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах, с помощью которых злоумышленники могут изменять или добавлять драйверы LSASS для закрепления в скомпрометированной системе. |
---|
ID | DS0027 | Источник и компонент данных | Драйвер: Загрузка драйвера | Описание | При включенной защите LSA отслеживайте в журналах событий все неудачные попытки загрузки плагинов и драйверов LSA (события с идентификаторами 3033 и 3063) . Используйте утилиту Sysinternals Autoruns/Autorunsc для анализа загруженных драйверов, связанных с LSA. |
---|
Меры противодействия
ID | M1025 | Название | Целостность привилегированных процессов | Описание | В Windows 8.1 и Server 2012 R2 включите защиту LSA, установив для ключа реестра |
---|
ID | M1043 | Название | Защита от получения учетных данных | Описание | В Windows 10 и Windows Server 2016 включите Credential Guard, чтобы запустить lsass.exe в изолированной виртуализированной среде без драйверов устройств . |
---|
ID | M1044 | Название | Ограничение загрузки библиотек | Описание | Проследите, чтобы был включен режим безопасного поиска DLL |
---|