微軟詳細(xì)介紹了其安全工具如何阻止黑客查找和竊取密碼和登錄信息,從而可能更快地阻止攻擊。微軟CEO納德拉:Windows 10也是物聯(lián)網(wǎng)游戲Windows 10是微軟計劃成為物聯(lián)網(wǎng)玩家計劃的關(guān)鍵部分。問題在于,很少有人看正如Microsoft解釋的那樣,lsass.exe管理大量用戶憑據(jù)機(jī)密,使其內(nèi)存空間成為“憑據(jù)轉(zhuǎn)儲”的關(guān)鍵目標(biāo) - 或從操作系統(tǒng)中竊取憑據(jù),攻擊者可以使用該憑據(jù)然后在目標(biāo)網(wǎng)絡(luò)周圍橫向移動。
攻擊者可以使用一些工具從lsass.exe內(nèi)存空間讀取數(shù)據(jù),然后將其轉(zhuǎn)儲以獲取憑據(jù)。
微軟表示,其中一種檢測憑證轉(zhuǎn)儲攻擊的方法(通常由所謂的高級持久性威脅(APT)組使用)依賴于對lsass.exe進(jìn)程的內(nèi)存訪問的統(tǒng)計建模。這允許它查找特定行為而不僅僅是檢測特定工具。
例如,雖然一些攻擊使用了眾所周知的憑證轉(zhuǎn)儲工具M(jìn)imikatz(它是NotPetya惡意軟件的武器庫與NSA的EternalBlue漏洞利用相結(jié)合的一部分),但如果它被下載到受害者的網(wǎng)絡(luò)上,該工具可能會引發(fā)警報。
因此,攻擊者在目標(biāo)系統(tǒng)上使用合法的管理工具來執(zhí)行相同的任務(wù),例如Sqldumper.exe,這是Microsoft SQL Server附帶的實用程序。這種方法被稱為“生活在陸地上”,并允許攻擊者避免通常被檢測為惡意的工具。
攻擊者可能會使用合法的工具來轉(zhuǎn)儲內(nèi)存,竊取它,然后使用任何最佳工具從受害者的機(jī)器中提取憑據(jù),而不是一開始就使用Mimikatz。
因此,Microsoft的Microsoft Defender Advanced Threat Protection(APT)方法是查看用于訪問lsass.exe進(jìn)程的所有工具的一般行為。
“lsass.exe進(jìn)程管理許多用戶憑據(jù)機(jī)密;與憑據(jù)竊取相關(guān)的關(guān)鍵行為,因此在攻擊者使用的許多工具中很常見,就是從這個進(jìn)程的內(nèi)存空間讀取大量數(shù)據(jù),”Rob Mead和Tim解釋道。 Microsoft威脅情報中心的Burrell。
在審查了用于憑據(jù)轉(zhuǎn)儲的幾個工具之后,Microsoft的分析發(fā)現(xiàn)“與憑證轉(zhuǎn)儲相關(guān)的lsass.exe進(jìn)程的內(nèi)存讀取數(shù)量和大小是高度可預(yù)測的”,并且比合法讀取大得多,例如正常處理登錄的用戶。
當(dāng)Microsoft檢測到異常讀取時,Microsoft Defender ATP會在Windows Defender安全中心發(fā)出警報,通知管理員“敏感憑據(jù)內(nèi)存讀取”。
該警告說明已從lsass.exe掃描或轉(zhuǎn)儲進(jìn)程,并且訪問此進(jìn)程內(nèi)存的攻擊者可以提取身份驗證哈?;蛎艽a。“可以將此內(nèi)存的副本寫入文件系統(tǒng),并將其解壓縮以脫機(jī)提取這些憑據(jù)”。
該警告還詳細(xì)說明了一個進(jìn)程樹圖,在Microsoft的示例中可以追溯到Sqldumper.exe。Microsoft Defender還檢測到濫用Microsoft的其他合法管理工具,包括ProcDump和任務(wù)管理器,如果它們已經(jīng)以這種方式使用的話。這些警報的全部目的是讓安全運(yùn)營團(tuán)隊有機(jī)會盡早停止憑證轉(zhuǎn)儲技術(shù),以應(yīng)對攻擊的后期階段。