ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1131

术语表: /attack/glossary

身份验证包

Windows 身份验证包 DLL 在系统启动时由本地安全机构(LSA)进程加载。 它们支持操作系统的多登录过程和多安全协议。

攻击者可以使用 LSA 身份验证包提供的自动启动机制来实现持久化,方法是在 Windows 注册表 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\位置放置对二进制文件的引用,该键值为"Authentication Packages"=。在加载身份验证包时,系统将执行该二进制文件。

缓解

Windows 8.1、Windows Server 2012 R2 以及后续版本可能通过设置注册表键 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL, 使 LSA 作为受保护轻进程 (PPL) 运行,它要求所有由 LSA 加载的 DLL 都必须由 Microsoft 签名。

检测

监视注册表以查看对 LSA 注册表项的更改。 监控 DLL 加载的 LSA 进程。 当没有签名的 DLL 试图设置注册表键 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe 的 AuditLevel = 8, 使其加载到 LSA 中时,Windows 8.1 和 Windows Server 2012 R2 可能会生成事件。