奧地利因斯布魯克2022年10月25日 /美通社/ -- Windows系統(tǒng)的本地安全驗(yàn)證子系統(tǒng)服務(wù)(LSASS)是網(wǎng)絡(luò)犯罪分子在對(duì)組織網(wǎng)絡(luò)發(fā)起定向攻擊時(shí)的目標(biāo)之一���。在本博文中��,我們討論了這一進(jìn)程對(duì)定向攻擊的重要性。
https://mma.prnasia.com/media2/1927734/AV_Comparatives_LSASS_Table_Infographic.jpg?p=medium600
從攻擊者角度看,Windows系統(tǒng)機(jī)器上的LSASS進(jìn)程通常是從域用戶獲得有用證書并利用這些證書在目標(biāo)網(wǎng)絡(luò)內(nèi)橫向移動(dòng)的關(guān)鍵。包括定制設(shè)計(jì)惡意軟件等幾種不同的方法可以被攻擊者和紅隊(duì)用來從LSASS進(jìn)程中提取證書。
依靠已安裝安全產(chǎn)品和適用政策對(duì)LSASS證書轉(zhuǎn)儲(chǔ)進(jìn)行保護(hù)可能會(huì)讓攻擊者更加容易或更加困難通過轉(zhuǎn)儲(chǔ)LSASS地址內(nèi)存來掌握Windows系統(tǒng)用戶證書。
一些安全產(chǎn)品包括具體的加固措施���,以此保護(hù)LSASS進(jìn)程并防止證書轉(zhuǎn)儲(chǔ)。然而���,在某些組織的環(huán)境中并不總是能夠使用這些更具限制性的政策���,因?yàn)檫@些政策可能會(huì)對(duì)一些未經(jīng)過妥善編程的傳統(tǒng)應(yīng)用程序或其他應(yīng)用程序造成問題�。因此�����,IT管理員應(yīng)該測試產(chǎn)品的加固設(shè)置��,看其是否具有任何有害的副作用。
此外,藍(lán)隊(duì)仍應(yīng)假設(shè),即使已安裝安全產(chǎn)品使用特定代碼來阻止LSASS的攻擊�,但堅(jiān)定的攻擊者仍可找到一種方法來轉(zhuǎn)儲(chǔ)LSASS進(jìn)程��。也就是說�����,他們?nèi)匀豢赡軓腖SASS進(jìn)程中提取用戶證書�����。除了具體的LSASS加固措施外,安全產(chǎn)品還可以通過防病毒模塊等方式預(yù)防證書轉(zhuǎn)儲(chǔ);這可能會(huì)檢測到已使用的惡意軟件或惡意軟件創(chuàng)建的其他文件�,或使用行為檢測來阻止惡意行為���。在某些情況下�,安全產(chǎn)品可能無法阻止攻擊����,但至少會(huì)發(fā)出警告,從而提醒系統(tǒng)管理員需要調(diào)查的惡意行為�。
有些商業(yè)安全產(chǎn)品的LSASS加固措施默認(rèn)為激活���。這包括Avast Ultimate Business Security�����、Bitdefender GravityZone Business Security Enterprise以及Kaspersky Endpoint Detection和Response Expert。微軟還提供了兩個(gè)專門用于保護(hù)LSASS進(jìn)程的功能���,即PPL(進(jìn)程保護(hù)機(jī)制)和ASR(攻擊面減少)規(guī)則。PPL在Windows 11上默認(rèn)啟用��,但目前在Windows 10上并非如此���;Windows 10/11的專業(yè)版��、企業(yè)版和教育版均包含該功能�。ASR規(guī)則可與Microsoft Defender一起在組織網(wǎng)絡(luò)中使用���,目前都需要在兩個(gè)操作系統(tǒng)上進(jìn)行主動(dòng)配置�。
安全產(chǎn)品中的證書轉(zhuǎn)儲(chǔ)保護(hù)測試
鑒于防止LSASS證書轉(zhuǎn)儲(chǔ)的重要性����,AV-Comparatives在2022年5月嘗試了一些商業(yè)安全產(chǎn)品,以確定其針對(duì)LSASS攻擊的加固措施的優(yōu)秀程度���。
以下我們列出了一些產(chǎn)品示例(由Avast、Bitdefender�、Kaspersky和Microsoft制造)���,這些產(chǎn)品展示了憑借各自的LSASS加固措施���,針對(duì)我們測試中使用的15種攻擊進(jìn)行的有效保護(hù)����。
以上表格包括以下產(chǎn)品的測試結(jié)果(開啟LSASS保護(hù)設(shè)置):Avast Ultimate Business Security�����、Bitdefender GravityZone Business Security Enterprise���、Kaspersky Endpoint Detection��、Response Expert和Microsoft Defender for Endpoint�。
微軟要求我們發(fā)布Microsoft Defender for Endpoint的另一項(xiàng)測試結(jié)果��,即我們?cè)跊]有開啟其LSASS保護(hù)功能(PPL和ASR)的情況下進(jìn)行的測試�。這是為了檢測微軟的其他安全功能是否能夠檢測到上述攻擊����。對(duì)于每一個(gè)測試案例�����,AV-Comparatives都檢查了在安全產(chǎn)品檢測到或者激活警告時(shí)�,這些攻擊是否被正確地歸因?yàn)镸ITRE ATT&CK策略和技術(shù)����。如果安全產(chǎn)品阻止了攻擊,實(shí)驗(yàn)室會(huì)檢查管理員控制臺(tái)提供了哪些有關(guān)威脅的信息���。這項(xiàng)測試所使用的方法和其他詳細(xì)信息請(qǐng)見本PDF文件。如需了解更多信息����,請(qǐng)閱讀微軟的此篇博文�����。
電子郵箱:media@av-comparatives.org
電話:+43 720115542
聯(lián)系人:Peter Stelzhammer
