omniture

LSASS并非絕對安全

AV-Comparatives
2022-10-25 02:22 4510

奧地利因斯布魯克2022年10月25日 /美通社/ -- Windows系統(tǒng)的本地安全驗證子系統(tǒng)服務(LSASS)是網(wǎng)絡犯罪分子在對組織網(wǎng)絡發(fā)起定向攻擊時的目標之一。在本博文中,我們討論了這一進程對定向攻擊的重要性。

https://mma.prnasia.com/media2/1927734/AV_Comparatives_LSASS_Table_Infographic.jpg?p=medium600
https://mma.prnasia.com/media2/1927734/AV_Comparatives_LSASS_Table_Infographic.jpg?p=medium600

 

從攻擊者角度看,Windows系統(tǒng)機器上的LSASS進程通常是從域用戶獲得有用證書并利用這些證書在目標網(wǎng)絡內(nèi)橫向移動的關鍵。包括定制設計惡意軟件等幾種不同的方法可以被攻擊者和紅隊用來從LSASS進程中提取證書。

依靠已安裝安全產(chǎn)品和適用政策LSASS證書轉儲進行保護可能會讓攻擊者更加容易或更加困難通過轉儲LSASS地址內(nèi)存來掌握Windows系統(tǒng)用戶證書。

一些安全產(chǎn)品包括具體的加固措施,以此保護LSASS進程并防止證書轉儲。然而,在某些組織的環(huán)境中并不總是能夠使用這些更具限制性的政策,因為這些政策可能會對一些未經(jīng)過妥善編程的傳統(tǒng)應用程序或其他應用程序造成問題。因此,IT管理員應該測試產(chǎn)品的加固設置,看其是否具有任何有害的副作用。

此外,藍隊仍應假設,即使已安裝安全產(chǎn)品使用特定代碼來阻止LSASS的攻擊,但堅定的攻擊者仍可找到一種方法來轉儲LSASS進程。也就是說,他們?nèi)匀豢赡軓腖SASS進程中提取用戶證書。除了具體的LSASS加固措施外,安全產(chǎn)品還可以通過防病毒模塊等方式預防證書轉儲;這可能會檢測到已使用的惡意軟件或惡意軟件創(chuàng)建的其他文件,或使用行為檢測來阻止惡意行為。在某些情況下,安全產(chǎn)品可能無法阻止攻擊,但至少會發(fā)出警告,從而提醒系統(tǒng)管理員需要調(diào)查的惡意行為。

有些商業(yè)安全產(chǎn)品的LSASS加固措施默認為激活。這包括Avast Ultimate Business Security、Bitdefender GravityZone Business Security Enterprise以及Kaspersky Endpoint Detection和Response Expert。微軟還提供了兩個專門用于保護LSASS進程的功能,即PPL(進程保護機制)和ASR(攻擊面減少)規(guī)則。PPL在Windows 11上默認啟用,但目前在Windows 10上并非如此;Windows 10/11的專業(yè)版、企業(yè)版和教育版均包含該功能。ASR規(guī)則可與Microsoft Defender一起在組織網(wǎng)絡中使用,目前都需要在兩個操作系統(tǒng)上進行主動配置。

安全產(chǎn)品中的證書轉儲保護測試

鑒于防止LSASS證書轉儲的重要性,AV-Comparatives在2022年5月嘗試了一些商業(yè)安全產(chǎn)品,以確定其針對LSASS攻擊的加固措施的優(yōu)秀程度。

以下我們列出了一些產(chǎn)品示例(由Avast、Bitdefender、Kaspersky和Microsoft制造),這些產(chǎn)品展示了憑借各自的LSASS加固措施,針對我們測試中使用的15種攻擊進行的有效保護。

以上表格包括以下產(chǎn)品的測試結果(開啟LSASS保護設置):Avast Ultimate Business Security、Bitdefender GravityZone Business Security Enterprise、Kaspersky Endpoint Detection、Response Expert和Microsoft Defender for Endpoint。

微軟要求我們發(fā)布Microsoft Defender for Endpoint的另一項測試結果,即我們在沒有開啟其LSASS保護功能(PPL和ASR)的情況下進行的測試。這是為了檢測微軟的其他安全功能是否能夠檢測到上述攻擊。對于每一個測試案例,AV-Comparatives都檢查了在安全產(chǎn)品檢測到或者激活警告時,這些攻擊是否被正確地歸因為MITRE ATT&CK策略和技術。如果安全產(chǎn)品阻止了攻擊,實驗室會檢查管理員控制臺提供了哪些有關威脅的信息。這項測試所使用的方法和其他詳細信息請見本PDF文件。如需了解更多信息,請閱讀微軟的此篇博文。

電子郵箱:media@av-comparatives.org
電話:+43 720115542
聯(lián)系人:Peter Stelzhammer

 

 

消息來源:AV-Comparatives
China-PRNewsire-300-300.png
全球TMT
微信公眾號“全球TMT”發(fā)布全球互聯(lián)網(wǎng)、科技、媒體、通訊企業(yè)的經(jīng)營動態(tài)、財報信息、企業(yè)并購消息。掃描二維碼,立即訂閱!
collection