飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

查看: 2051|回复: 0

[安全情报] 微软正在加大从内存中窃取Windows密码的难度

[复制链接]
  • TA的每日心情
    开心
    2019-3-15 11:00
  • 签到天数: 262 天

    [LV.8]以坛为家I

    发表于 2022-2-20 15:04:41 | 显示全部楼层 |阅读模式
    本帖最后由 梦幻的彼岸 于 2022-2-22 13:31 编辑

    翻译
    原文地址:https://movaxbx.ru/2022/02/14/mi ... swords-from-memory/

    微软正在默认启用Microsoft Defender的 "Attack Surface Reduction "安全规则,以阻止黑客从LSASS过程中窃取Windows凭证的企图。

    当威胁者入侵网络时,他们试图通过窃取凭证或利用漏洞横向传播到其他设备。

    窃取Windows凭证的最常见方法之一是在被攻击的设备上获得管理权限,然后转储Windows中运行的本地安全授权服务器服务(LSASS)进程的内存。

    这种内存转储包含登录过该计算机的用户的Windows凭证的NTLM哈希值,这些凭证可以被破解为明文密码或用于Pass-the-Hash攻击以登录到其他设备。

    下面是威胁者如何使用流行的Mimikatz程序从LSASS转储NTLM哈希值的演示。


    使用mimikatz从LSASS中转储NTLM凭据
    来源于: BleepingComputer
    虽然Microsoft Defender心阻止了Mimikatz这样的程序,但LSASS内存转储仍然可以通过转移到远程计算机上来转储凭证,而不用担心被阻止。

    Microsoft Defender来防御来解决这个问题
    为了防止威胁者滥用LSASS内存转储,微软已经引入了安全功能,防止对LSASS进程的访问。
    这些安全功能之一是Credential Guard,它将LSASS进程隔离在一个虚拟化的容器中,防止其他进程访问它。
    然而,这一功能可能导致与驱动程序或应用程序的冲突,导致一些组织不启用它。
    作为缓解Windows凭证盗窃的一种方式,同时又不造成Credential Guard,引入的冲突,微软很快将默认启用Microsoft Defender Attack Surface Reduction (ASR) rule
    规则 "阻止从Windows本地安全授权子系统窃取凭证",防止进程打开LSASS进程并转储其内存,即使它有管理权限。

    ASR规则阻止Process Explorer转储LSASS进程
    来源于: BleepingComputer
    这个新的变化是本周由安全研究员Kostas发现的,他发现了微软的ASR规则文档的更新。
    微软在ASR规则的更新文档中解释道:"阻止从Windows本地安全授权子系统(lsass.exe)窃取凭证 "的攻击面减少(ASR)规则的默认状态将从未配置变为已配置,默认模式设置为阻止。所有其他ASR规则将保持其默认状态。
    «额外的过滤逻辑已经被纳入规则,以减少终端用户的通知。客户可以将该规则配置为审计、警告或禁用模式,这将覆盖默认模式。无论该规则被配置为默认开启模式,还是手动启用阻止模式,该规则的功能都是一样的。»
    由于攻击面减少规则往往会在事件日志中引入误报和大量响应,微软以前没有默认启用该安全功能。 然而,微软最近开始以牺牲便利为代价选择安全性,删除管理员和Windows用户使用的增加攻击面的常见功能。
    例如,微软最近宣布,他们将在4月份阻止下载的Office文档中的VBA宏在Office应用程序中启用,从而扼杀了恶意软件的一种流行传播方式。
    本周,我们还了解到,微软已经开始废除威胁者通常用来安装恶意软件和运行命令的WMIC工具
    不是一个完美的解决方案,但却是一个好的开始
    虽然默认情况下启用ASR规则将大大影响Windows凭证的窃取,但这绝不是一个万全之策。
    这是因为只有在运行Microsoft Defender作为主要杀毒软件的Windows企业许可证上才支持完整的攻击面减少功能。然而,BleepingComputer的测试显示,LSASS ASR规则在Windows 10和Windows 11 Pro客户端上也能使用。
    不幸的是,一旦安装了另一个防病毒解决方案,ASR就会立即在设备上禁用。
    此外,安全研究人员发现了内置的Microsoft Defender排除路径,允许威胁者从这些文件名/目录中运行他们的工具,以绕过ASR规则并继续转储LSASS进程。
    加强LSASS的ASR规则在默认情况下被打开,但请记住,这不是万全之策,有很多方法可以解决这个问题......这是我最喜欢的方法之一 😂 pic.twitter.com/fuQYJ3ZcAn
    — Adam Chester 🐇 (@_xpn_) February 9, 2022

    Mimikatz开发人员Benjamin Delpy告诉BleepingComputer,微软可能为另一条规则添加了这些内置的排除项,但由于排除项影响所有规则,它绕过了LSASS的限制。
    "例如,如果他们想从规则中排除一个目录,"阻止可执行文件的运行,除非它们符合流行性、年龄或受信任名单的标准,"这不可能只针对这一规则。排除适用于所有的ASR规则......包括LSASS访问",Delpy在与BleepingComputer谈论即将到来的变化时解释道。
    然而,即使有所有这些问题,Delpy认为这一变化是微软向前迈出的重要一步,并认为它将大大影响威胁者窃取Windows凭证的能力。
    Delpy的观点:"这是我们多年(几十年)来一直要求的事情。这是一个很好的步骤,我非常高兴地看到,当来自互联网时,"宏 "被默认禁用。我们现在开始看到真正与现实世界的攻击有关的措施,"
    "没有合法的理由支持开放LSASS进程......只支持错误的/遗留的/劣质产品--大多数时候--与认证有关:')。"
    BleepingComputer已经联系了微软,以了解更多关于这一规则何时默认启用的信息,但还没有得到回复。

    PYG19周年生日快乐!
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表