ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1174

术语表: /attack/glossary

密码过滤器 DLL

Windows 密码过滤器是用于域和本地帐户的密码策略执行机制。 过滤器实现为动态链接库 (dll),其中包含根据密码策略验证潜在密码的方法。 过滤器 DLL 可以位于本地计算机上,用于本地帐户和/或域帐户的域控制器。 在安全帐户管理器 (SAM) 中注册新密码之前,本地安全机构 (LSA) 向每个已注册的过滤器请求验证。 在每个注册的过滤器确认验证前,任何潜在更改都不会生效。 攻击者可以注册恶意的密码过滤器来从本地计算机和/或整个域获取凭据。 过滤器必须从 LSA 接收明文凭据以执行适当的验证。 恶意密码过滤器在每次密码请求时会接收到这些明文凭据。

缓解

确保只注册有效的密码过滤器。 过滤器 DLL 必须出现在域控制器和/或本地计算机的 Windows 安装目录(默认为 C:\Windows\System32\中,并在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages 中具有相应的条目。

检测

监控进出不熟悉的密码过滤器的更改通知。 新安装的密码过滤器在系统重新启动后才会生效。 密码过滤器将以 autorun 和加载的 DLL 的形式出现在 lsass.exe 中。