奧地利因斯布魯克2022年10月25日 /美通社/ -- Windows系統(tǒng)的本地安全驗(yàn)證子系統(tǒng)服務(wù)(LSASS)是網(wǎng)絡(luò)犯罪分子在對(duì)組織網(wǎng)絡(luò)發(fā)起定向攻擊時(shí)的目標(biāo)之一。在本博文中,我們討論了這一進(jìn)程對(duì)定向攻擊的重要性。
從攻擊者角度看,Windows系統(tǒng)機(jī)器上的LSASS進(jìn)程通常是從域用戶獲得有用證書并利用這些證書在目標(biāo)網(wǎng)絡(luò)內(nèi)橫向移動(dòng)的關(guān)鍵。包括定制設(shè)計(jì)惡意軟件等幾種不同的方法可以被攻擊者和紅隊(duì)用來從LSASS進(jìn)程中提取證書。
依靠已安裝安全產(chǎn)品和適用政策對(duì)LSASS證書轉(zhuǎn)儲(chǔ)進(jìn)行保護(hù)可能會(huì)讓攻擊者更加容易或更加困難通過轉(zhuǎn)儲(chǔ)LSASS地址內(nèi)存來掌握Windows系統(tǒng)用戶證書。
一些安全產(chǎn)品包括具體的加固措施,以此保護(hù)LSASS進(jìn)程并防止證書轉(zhuǎn)儲(chǔ)。然而,在某些組織的環(huán)境中并不總是能夠使用這些更具限制性的政策,因?yàn)檫@些政策可能會(huì)對(duì)一些未經(jīng)過妥善編程的傳統(tǒng)應(yīng)用程序或其他應(yīng)用程序造成問題。因此,IT管理員應(yīng)該測(cè)試產(chǎn)品的加固設(shè)置,看其是否具有任何有害的副作用。
此外,藍(lán)隊(duì)仍應(yīng)假設(shè),即使已安裝安全產(chǎn)品使用特定代碼來阻止LSASS的攻擊,但堅(jiān)定的攻擊者仍可找到一種方法來轉(zhuǎn)儲(chǔ)LSASS進(jìn)程。也就是說,他們?nèi)匀豢赡軓腖SASS進(jìn)程中提取用戶證書。除了具體的LSASS加固措施外,安全產(chǎn)品還可以通過防病毒模塊等方式預(yù)防證書轉(zhuǎn)儲(chǔ);這可能會(huì)檢測(cè)到已使用的惡意軟件或惡意軟件創(chuàng)建的其他文件,或使用行為檢測(cè)來阻止惡意行為。在某些情況下,安全產(chǎn)品可能無法阻止攻擊,但至少會(huì)發(fā)出警告,從而提醒系統(tǒng)管理員需要調(diào)查的惡意行為。
有些商業(yè)安全產(chǎn)品的LSASS加固措施默認(rèn)為激活。這包括Avast Ultimate Business Security、Bitdefender GravityZone Business Security Enterprise以及Kaspersky Endpoint Detection和Response Expert。微軟還提供了兩個(gè)專門用于保護(hù)LSASS進(jìn)程的功能,即PPL(進(jìn)程保護(hù)機(jī)制)和ASR(攻擊面減少)規(guī)則。PPL在Windows 11上默認(rèn)啟用,但目前在Windows 10上并非如此;Windows 10/11的專業(yè)版、企業(yè)版和教育版均包含該功能。ASR規(guī)則可與Microsoft Defender一起在組織網(wǎng)絡(luò)中使用,目前都需要在兩個(gè)操作系統(tǒng)上進(jìn)行主動(dòng)配置。
安全產(chǎn)品中的證書轉(zhuǎn)儲(chǔ)保護(hù)測(cè)試
鑒于防止LSASS證書轉(zhuǎn)儲(chǔ)的重要性,AV-Comparatives在2022年5月嘗試了一些商業(yè)安全產(chǎn)品,以確定其針對(duì)LSASS攻擊的加固措施的優(yōu)秀程度。
以下我們列出了一些產(chǎn)品示例(由Avast、Bitdefender、Kaspersky和Microsoft制造),這些產(chǎn)品展示了憑借各自的LSASS加固措施,針對(duì)我們測(cè)試中使用的15種攻擊進(jìn)行的有效保護(hù)。
以上表格包括以下產(chǎn)品的測(cè)試結(jié)果(開啟LSASS保護(hù)設(shè)置):Avast Ultimate Business Security、Bitdefender GravityZone Business Security Enterprise、Kaspersky Endpoint Detection、Response Expert和Microsoft Defender for Endpoint。
微軟要求我們發(fā)布Microsoft Defender for Endpoint的另一項(xiàng)測(cè)試結(jié)果,即我們?cè)跊]有開啟其LSASS保護(hù)功能(PPL和ASR)的情況下進(jìn)行的測(cè)試。這是為了檢測(cè)微軟的其他安全功能是否能夠檢測(cè)到上述攻擊。對(duì)于每一個(gè)測(cè)試案例,AV-Comparatives都檢查了在安全產(chǎn)品檢測(cè)到或者激活警告時(shí),這些攻擊是否被正確地歸因?yàn)镸ITRE ATT&CK策略和技術(shù)。如果安全產(chǎn)品阻止了攻擊,實(shí)驗(yàn)室會(huì)檢查管理員控制臺(tái)提供了哪些有關(guān)威脅的信息。這項(xiàng)測(cè)試所使用的方法和其他詳細(xì)信息請(qǐng)見本PDF文件。如需了解更多信息,請(qǐng)閱讀微軟的此篇博文。
電子郵箱:media@av-comparatives.org
電話:+43 720115542
聯(lián)系人:Peter Stelzhammer