T1556.002: DLL-библиотеки фильтров паролей
Злоумышленники могут регистрировать вредоносные DLL-библиотеки фильтров паролей для процесса аутентификации, чтобы собирать учетные данные аутентифицированных пользователей.
Фильтры паролей Windows обеспечивают применение политик паролей для доменных и локальных учетных записей. Они представляют собой DLL-библиотеки, содержащие метод проверки соответствия возможных паролей политикам паролей. DLL-библиотеки фильтров паролей для локальных учетных записей размещаются на локальных компьютерах, а для доменных учетных записей — на контроллерах домена. Перед регистрацией новых паролей в диспетчере учетных записей безопасности (SAM) локальная система безопасности (LSA) запрашивает их проверку каждым зарегистрированным фильтром. Изменения вступят в силу только после подтверждения успешной проверки всеми зарегистрированными фильтрами.
Злоумышленники могут зарегистрировать на локальном компьютере и (или) домене вредоносные фильтры паролей с целью сбора учетных данных. Для проведения проверки фильтры получают от LSA учетные данные в открытом виде. Таким образом, вредоносные фильтры будут получать учетные данные в открытом виде при каждом запросе на проверку пароля.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
— Мониторинг событий изменения ключа реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages (идентификаторы 12, 13 и 14 в Sysmon). — Мониторинг событий загрузки библиотек DLL процессом lsass.exe (идентификатор 7 в Sysmon). Рекомендуется обращать внимание на подозрительные библиотеки (без подписи)
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
| ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в записях реестра фильтров паролей (например, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages), чтобы сопоставить и рассмотреть DLL-библиотеки, на которые ссылаются эти файлы. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов, с помощью которых злоумышленники могут регистрировать вредоносные DLL-библиотеки фильтров паролей для процесса аутентификации, чтобы собирать учетные данные аутентифицированных пользователей. |
|---|
| ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте запись новых, незнакомых DLL-файлов на контроллере домена и (или) локальном компьютере. Фильтры паролей будут отображаться как автоматически запускаемые DLL, загруженные процессом lsass.exe. |
|---|
Меры противодействия
| ID | M1028 | Название | Изменение конфигурации ОС | Описание | Проследите, чтобы были зарегистрированы только действительные фильтры паролей. DLL-библиотеки фильтра должны присутствовать в каталоге установки Windows (по умолчанию C:\Windows\System32) контроллера домена и (или) локального компьютера с соответствующей записью в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages. |
|---|