г. Минск, ул. Комсомольская 12-а. МГТС: (+375 17) 28-28-903, Velcom: (+375 29) 128 34 62, МТС: (+375 33) 666 59 03, e-mail: office@jukola.info
 
   

 

Вредоносные модули и процесс LSA

10.12.2024

касперский.png

Уважаемые пользователи!

В ходе атак на инфраструктуру различных компаний злоумышленники все чаще прибегают к манипуляции с модулями, взаимодействующими с процессом Local Security Authority (LSA). Это позволяет им получать доступ к учетным данным пользователей и закрепиться в системе, повысить свои привилегии или развить атаку на другие системы атакуемой компании. Поэтому при подготовке очередного ежеквартального обновления для нашей SIEM-системы Kaspersky Unified Monitoring and Analysis Platform мы добавили правила, служащие для детектирования таких попыток. По классификации MITRE ATT&CK, новые правила позволяют выявлять техники T1547.002T1547.005 и T1556.002.


В чем суть техник T1547.002, T1547.005 и T1556.002?

Оба вышеупомянутых варианта техники T1547 подразумевают загрузку процессом LSA вредоносных модулей. Подтехника 002 описывает добавление вредоносных DLL-библиотек с пакетами проверки подлинности Windows (Windows Authentication Packages), а подтехника 005 — библиотек с пакетами поставщиков безопасности (Security Support Providers). Загрузка этих модулей позволяет злоумышленникам получить доступ к памяти процесса LSA, то есть к критическим данным, таким как учетные данные пользователей.

Техника T1556.002 описывает сценарий, когда атакующий регистрирует в системе вредоносные DLL-библиотеки фильтров паролей (Password Filter), которые по сути являются механизмом, принуждающим к исполнению парольных политик. Когда легитимный пользователь меняет пароль или же устанавливает новый, процесс LSA сверяет его со всеми зарегистрированными фильтрами, при этом он вынужден передавать фильтрам пароли в открытом, нешифрованном виде. То есть если злоумышленнику удается внедрить в систему свой вредоносный фильтр паролей, то он сможет собирать пароли при каждом запросе.

Все три техники подразумевают подкладывание вредоносных библиотек в директорию C:Windows\system32, а также их регистрацию в ветке системного реестра SYSTEM\CurrentControlSet\Control\LSA\ с ключами Authentication Packages для T1547.002, Security Packages для T1547.005 и Notification Packages для T1556.002.


Как KUMA SIEM противостоит техникам T1547.002, T1547.005 и T1556.002

Для противодействия данным техникам в Kaspersky Unified Monitoring and Analysis Platform будут добавлены правила R154_02–R154_10, детектирующие, помимо прочего, следующие события:

  • Загрузка подозрительных пакетов аутентификации, пакетов парольных фильтров и модулей SSP (Security Support Provider) с помощью событий 4610, 4614, 4622 соответственно.
  • Команды в cmd.exe и powershell.exe, направленные на модификацию ветки реестра LSA и ключей Authentication Packages, Notification Packages, Security Packages.
  • Изменения в ветке реестра LSA\Security Packages, которые могут включать вредоносный файл с помощью события изменения реестра 4657.

Что еще улучшили в обновлении KUMA

В очередном обновлении мы также добавляем правило R999_99, которое служит для детектирования изменения критичных атрибутов аккаунтов в Active Directory, отвечающих за выполнение различных действий при каждом входе в систему, таких, например, как Script-Path и msTSInitialProgram.

Эти атрибуты отвечают за выполнение скриптов при входе в систему. То есть скриптов, которые выполняются каждый раз, когда пользователь входит в сеть. Это делает их удобной мишенью для злоумышленников с целью закрепления в сети. Манипуляции с этими атрибутами могут свидетельствовать о несанкционированных попытках закрепления в системе или повышения привилегий, то есть применения техники T1037.003 по классификации MITRE ATT&CK.

Стратегия обнаружения этих манипуляций заключается в мониторинге журналов событий Windows, в частности события с идентификатором 5136. Это событие регистрирует любые изменения, внесенные в объекты в Active Directory, включая изменения атрибутов.

После установки последнего обновления на платформе KUMA будет доступно более 700 правил. Таким образом, к концу 2024 года решение будет покрывать 400 техник MITRE ATT&CK. 

Новые и доработанные нормализаторы

В свежем обновлении также добавлены в SIEM-систему нормализаторы, позволяющие работать со следующими источниками событий:

  • [OOTB] McAfee Endpoint DLP syslog
  • [OOTB] Lastline Enterprise syslog cef
  • [OOTB] MongoDB syslog
  • [OOTB] GajShield Firewall syslog
  • [OOTB] Eltex ESR syslog
  • [OOTB] Linux auditd syslog for KUMA 3.2
  • [OOTB] Barracuda Cloud Email Security Gateway syslog
  • [OOTB] Yandex Cloud
  • [OOTB] InfoWatch Person Monitor SQL
  • [OOTB] Kaspersky Industrial CyberSecurity for Networks 4.2 syslog

Кроме того, доработали следующие нормализаторы:

  • [OOTB] Microsoft Products via KES WIN
  • [OOTB] Microsoft Products for KUMA 3
  • [OOTB] KSC from SQL
  • [OOTB] Ideco UTM syslog
  • [OOTB] KEDR telemetry
  • [OOTB] ViPNet TIAS syslog
  • [OOTB] PostgreSQL pgAudit syslog
  • [OOTB] KSC PostgreSQL
  • [OOTB] Linux auditd syslog for KUMA 3.2

Подробнее о нашей SIEM-системе Kaspersky Unified Monitoring and Analysis Platform можно узнать на официальной странице продукта.

____________________________________________________________________________________________________________

Ознакомиться с полной статьей Вы можете здесь. Источник новости: www.kaspersky.ru

Помните, что не только Вашему бизнесу нужна защита! 
Защиту для домашних пользователей можно купить в интернет-магазине компании «ЮКОЛА-ИНФО»

Если у Вас возникли вопросы или желаете получить консультацию по определенному решению — позвоните нам по телефонам:
+375 (17) 28 28 903 МГТС
+375 (29) 128 34 62 А1 (Viber)
+375 (33) 666 59 03 МТС

Приятной работы!



Количество показов: 395

Для удобства сохраните эту статью в закладки:

Список новостей