奧地利因斯布魯克2022年10月25日 /美通社/ -- Windows系統的本地安全驗證子系統服務(LSASS)是網絡犯罪分子在對組織網絡發(fā)起定向攻擊時的目標之一。在本博文中,我們討論了這一進程對定向攻擊的重要性。
從攻擊者角度看,Windows系統機器上的LSASS進程通常是從域用戶獲得有用證書并利用這些證書在目標網絡內橫向移動的關鍵。包括定制設計惡意軟件等幾種不同的方法可以被攻擊者和紅隊用來從LSASS進程中提取證書。
依靠已安裝安全產品和適用政策對LSASS證書轉儲進行保護可能會讓攻擊者更加容易或更加困難通過轉儲LSASS地址內存來掌握Windows系統用戶證書。
一些安全產品包括具體的加固措施,以此保護LSASS進程并防止證書轉儲。然而,在某些組織的環(huán)境中并不總是能夠使用這些更具限制性的政策,因為這些政策可能會對一些未經過妥善編程的傳統應用程序或其他應用程序造成問題。因此,IT管理員應該測試產品的加固設置,看其是否具有任何有害的副作用。
此外,藍隊仍應假設,即使已安裝安全產品使用特定代碼來阻止LSASS的攻擊,但堅定的攻擊者仍可找到一種方法來轉儲LSASS進程。也就是說,他們仍然可能從LSASS進程中提取用戶證書。除了具體的LSASS加固措施外,安全產品還可以通過防病毒模塊等方式預防證書轉儲;這可能會檢測到已使用的惡意軟件或惡意軟件創(chuàng)建的其他文件,或使用行為檢測來阻止惡意行為。在某些情況下,安全產品可能無法阻止攻擊,但至少會發(fā)出警告,從而提醒系統管理員需要調查的惡意行為。
有些商業(yè)安全產品的LSASS加固措施默認為激活。這包括Avast Ultimate Business Security、Bitdefender GravityZone Business Security Enterprise以及Kaspersky Endpoint Detection和Response Expert。微軟還提供了兩個專門用于保護LSASS進程的功能,即PPL(進程保護機制)和ASR(攻擊面減少)規(guī)則。PPL在Windows 11上默認啟用,但目前在Windows 10上并非如此;Windows 10/11的專業(yè)版、企業(yè)版和教育版均包含該功能。ASR規(guī)則可與Microsoft Defender一起在組織網絡中使用,目前都需要在兩個操作系統上進行主動配置。
安全產品中的證書轉儲保護測試
鑒于防止LSASS證書轉儲的重要性,AV-Comparatives在2022年5月嘗試了一些商業(yè)安全產品,以確定其針對LSASS攻擊的加固措施的優(yōu)秀程度。
以下我們列出了一些產品示例(由Avast、Bitdefender、Kaspersky和Microsoft制造),這些產品展示了憑借各自的LSASS加固措施,針對我們測試中使用的15種攻擊進行的有效保護。
以上表格包括以下產品的測試結果(開啟LSASS保護設置):Avast Ultimate Business Security、Bitdefender GravityZone Business Security Enterprise、Kaspersky Endpoint Detection、Response Expert和Microsoft Defender for Endpoint。
微軟要求我們發(fā)布Microsoft Defender for Endpoint的另一項測試結果,即我們在沒有開啟其LSASS保護功能(PPL和ASR)的情況下進行的測試。這是為了檢測微軟的其他安全功能是否能夠檢測到上述攻擊。對于每一個測試案例,AV-Comparatives都檢查了在安全產品檢測到或者激活警告時,這些攻擊是否被正確地歸因為MITRE ATT&CK策略和技術。如果安全產品阻止了攻擊,實驗室會檢查管理員控制臺提供了哪些有關威脅的信息。這項測試所使用的方法和其他詳細信息請見本PDF文件。如需了解更多信息,請閱讀微軟的此篇博文。
電子郵箱:media@av-comparatives.org
電話:+43 720115542
聯系人:Peter Stelzhammer