ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1177

术语表: /attack/glossary

LSASS 驱动程序

Windows 安全子系统是管理和执行计算机或域的安全策略的组件集。 本地安全权威 (Local Security Authority, LSA) 是负责本地安全策略和用户身份验证的主要组件。 LSA 包括与各种其他安全功能相关联的多个动态链接库 (DLL),所有这些功能都在 LSA 子系统服务 (LSASS) lsass.exe 上下文中运行。

攻击者可能以 lsass.exe 驱动程序为目标,从而获得执行和/或持久性。 通过替换或添加非法驱动程序(例如,DLL 侧载(DLL Side-Loading)或 DLL 搜索顺序劫持(DLL Search Order Hijacking)),攻击者可以实现由连续 LSA 操作触发的任意代码执行。

缓解

在 Windows 8.1 和 Server 2012 R2 上,通过设置注册表键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPLdword:00000001 以启用 LSA 保护。 LSA 保护确保仅加载具有 Microsoft 数字签名并遵循 Microsoft 安全开发生命周期 (SDL) 流程指导的 LSA 插件和驱动程序。 在 Windows 10 和 Server 2016 上,启用 Windows Defender Credential Guard 以在没有任何设备驱动程序的隔离虚拟化环境中运行 lsass.exe。

确保启用安全 DLL 搜索模式HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode 以降低 lsass.exe 加载恶意代码库的风险。

检测

启用 LSA 保护后,监视事件日志 (Events 3033 和 3063),以查找加载 LSA 插件和驱动程序的失败尝试。

利用 Sysinternals Autoruns/Autorunsc 实用程序 检查与 LSA 相关的加载驱动程序。 使用 Sysinternals Process Monitor 实用程序监视 lsass.exe 中的 DLL 加载操作。