微軟詳細(xì)介紹了其安全工具如何阻止黑客查找和竊取密碼和登錄信息，從而可能更快地阻止攻擊。微軟CEO納德拉：Windows 10也是物聯(lián)網(wǎng)游戲Windows 10是微軟計劃成為物聯(lián)網(wǎng)玩家計劃的關(guān)鍵部分。問題在于，很少有人看正如Microsoft解釋的那樣，lsass.exe管理大量用戶憑據(jù)機(jī)密，使其內(nèi)存空間成為“憑據(jù)轉(zhuǎn)儲”的關(guān)鍵目標(biāo) - 或從操作系統(tǒng)中竊取憑據(jù)，攻擊者可以使用該憑據(jù)然后在目標(biāo)網(wǎng)絡(luò)周圍橫向移動。

攻擊者可以使用一些工具從lsass.exe內(nèi)存空間讀取數(shù)據(jù)，然后將其轉(zhuǎn)儲以獲取憑據(jù)。

微軟表示，其中一種檢測憑證轉(zhuǎn)儲攻擊的方法(通常由所謂的高級持久性威脅(APT)組使用)依賴于對lsass.exe進(jìn)程的內(nèi)存訪問的統(tǒng)計建模。這允許它查找特定行為而不僅僅是檢測特定工具。

例如，雖然一些攻擊使用了眾所周知的憑證轉(zhuǎn)儲工具M(jìn)imikatz(它是NotPetya惡意軟件的武器庫與NSA的EternalBlue漏洞利用相結(jié)合的一部分)，但如果它被下載到受害者的網(wǎng)絡(luò)上，該工具可能會引發(fā)警報。

因此，攻擊者在目標(biāo)系統(tǒng)上使用合法的管理工具來執(zhí)行相同的任務(wù)，例如Sqldumper.exe，這是Microsoft SQL Server附帶的實用程序。這種方法被稱為“生活在陸地上”，并允許攻擊者避免通常被檢測為惡意的工具。

攻擊者可能會使用合法的工具來轉(zhuǎn)儲內(nèi)存，竊取它，然后使用任何最佳工具從受害者的機(jī)器中提取憑據(jù)，而不是一開始就使用Mimikatz。

因此，Microsoft的Microsoft Defender Advanced Threat Protection(APT)方法是查看用于訪問lsass.exe進(jìn)程的所有工具的一般行為。

“lsass.exe進(jìn)程管理許多用戶憑據(jù)機(jī)密;與憑據(jù)竊取相關(guān)的關(guān)鍵行為，因此在攻擊者使用的許多工具中很常見，就是從這個進(jìn)程的內(nèi)存空間讀取大量數(shù)據(jù)，”Rob Mead和Tim解釋道。 Microsoft威脅情報中心的Burrell。

在審查了用于憑據(jù)轉(zhuǎn)儲的幾個工具之后，Microsoft的分析發(fā)現(xiàn)“與憑證轉(zhuǎn)儲相關(guān)的lsass.exe進(jìn)程的內(nèi)存讀取數(shù)量和大小是高度可預(yù)測的”，并且比合法讀取大得多，例如正常處理登錄的用戶。

當(dāng)Microsoft檢測到異常讀取時，Microsoft Defender ATP會在Windows Defender安全中心發(fā)出警報，通知管理員“敏感憑據(jù)內(nèi)存讀取”。

該警告說明已從lsass.exe掃描或轉(zhuǎn)儲進(jìn)程，并且訪問此進(jìn)程內(nèi)存的攻擊者可以提取身份驗證哈?；蛎艽a。“可以將此內(nèi)存的副本寫入文件系統(tǒng)，并將其解壓縮以脫機(jī)提取這些憑據(jù)”。

該警告還詳細(xì)說明了一個進(jìn)程樹圖，在Microsoft的示例中可以追溯到Sqldumper.exe。Microsoft Defender還檢測到濫用Microsoft的其他合法管理工具，包括ProcDump和任務(wù)管理器，如果它們已經(jīng)以這種方式使用的話。這些警報的全部目的是讓安全運(yùn)營團(tuán)隊有機(jī)會盡早停止憑證轉(zhuǎn)儲技術(shù)，以應(yīng)對攻擊的后期階段。