Вредоносные модули и процесс LSA

В ходе атак на инфраструктуру различных компаний злоумышленники все чаще прибегают к манипуляции с модулями, взаимодействующими с процессом Local Security Authority (LSA). Это позволяет им получать доступ к учетным данным пользователей и закрепиться в системе, повысить свои привилегии или развить атаку на другие системы атакуемой компании. Поэтому при подготовке очередного ежеквартального обновления для нашей SIEM-системы Kaspersky Unified Monitoring and Analysis Platform мы добавили правила, служащие для детектирования таких попыток. По классификации MITRE ATT&CK, новые правила позволяют выявлять техники T1547.002, T1547.005 и T1556.002.

В чем суть техник T1547.002, T1547.005 и T1556.002?

Оба вышеупомянутых варианта техники T1547 подразумевают загрузку процессом LSA вредоносных модулей. Подтехника 002 описывает добавление вредоносных DLL-библиотек с пакетами проверки подлинности Windows (Windows Authentication Packages), а подтехника 005 — библиотек с пакетами поставщиков безопасности (Security Support Providers). Загрузка этих модулей позволяет злоумышленникам получить доступ к памяти процесса LSA, то есть к критическим данным, таким как учетные данные пользователей.

Техника T1556.002 описывает сценарий, когда атакующий регистрирует в системе вредоносные DLL-библиотеки фильтров паролей (Password Filter), которые по сути являются механизмом, принуждающим к исполнению парольных политик. Когда легитимный пользователь меняет пароль или же устанавливает новый, процесс LSA сверяет его со всеми зарегистрированными фильтрами, при этом он вынужден передавать фильтрам пароли в открытом, нешифрованном виде. То есть если злоумышленнику удается внедрить в систему свой вредоносный фильтр паролей, то он сможет собирать пароли при каждом запросе.

Все три техники подразумевают подкладывание вредоносных библиотек в директорию C:Windowssystem32, а также их регистрацию в ветке системного реестра SYSTEMCurrentControlSetControlLSA с ключами Authentication Packages для T1547.002, Security Packages для T1547.005 и Notification Packages для T1556.002.

Как KUMA SIEM противостоит техникам T1547.002, T1547.005 и T1556.002

Для противодействия данным техникам в Kaspersky Unified Monitoring and Analysis Platform будут добавлены правила R154_02–R154_10, детектирующие, помимо прочего, следующие события:

• Загрузка подозрительных пакетов аутентификации, пакетов парольных фильтров и модулей SSP (Security Support Provider) с помощью событий 4610, 4614, 4622 соответственно.
• Команды в cmd.exe и powershell.exe, направленные на модификацию ветки реестра LSA и ключей Authentication Packages, Notification Packages, Security Packages.
• Изменения в ветке реестра LSASecurity Packages, которые могут включать вредоносный файл с помощью события изменения реестра 4657.

Что еще мы улучшаем в обновлении KUMA

В очередном обновлении мы также добавляем правило R999_99, которое служит для детектирования изменения критичных атрибутов аккаунтов в Active Directory, отвечающих за выполнение различных действий при каждом входе в систему, таких, например, как Script-Path и msTSInitialProgram.

Эти атрибуты отвечают за выполнение скриптов при входе в систему. То есть скриптов, которые выполняются каждый раз, когда пользователь входит в сеть. Это делает их удобной мишенью для злоумышленников с целью закрепления в сети. Манипуляции с этими атрибутами могут свидетельствовать о несанкционированных попытках закрепления в системе или повышения привилегий, то есть применения техники T1037.003 по классификации MITRE ATT&CK.

Стратегия обнаружения этих манипуляций заключается в мониторинге журналов событий Windows, в частности события с идентификатором 5136. Это событие регистрирует любые изменения, внесенные в объекты в Active Directory, включая изменения атрибутов.

Новые и доработанные нормализаторы

В свежем обновлении мы также добавляем в нашу SIEM-систему нормализаторы, позволяющие работать со следующими источниками событий:

• [OOTB] McAfee Endpoint DLP syslog
• [OOTB] Lastline Enterprise syslog cef
• [OOTB] MongoDB syslog
• [OOTB] GajShield Firewall syslog
• [OOTB] Eltex ESR syslog
• [OOTB] Linux auditd syslog for KUMA 3.2
• [OOTB] Barracuda Cloud Email Security Gateway syslog
• [OOTB] Yandex Cloud
• [OOTB] InfoWatch Person Monitor SQL
• [OOTB] Kaspersky Industrial CyberSecurity for Networks 4.2 syslog

Кроме того, наши эксперты доработали следующие нормализаторы:

• [OOTB] Microsoft Products via KES WIN
• [OOTB] Microsoft Products for KUMA 3
• [OOTB] KSC from SQL
• [OOTB] Ideco UTM syslog
• [OOTB] KEDR telemetry
• [OOTB] ViPNet TIAS syslog
• [OOTB] PostgreSQL pgAudit syslog
• [OOTB] KSC PostgreSQL
• [OOTB] Linux auditd syslog for KUMA 3.2

С полным перечнем поддерживаемых источников событий в Kaspersky Unified Monitoring and Analysis Platform версии 3.4 можно ознакомиться в разделе технической поддержки, где также доступна информация о правилах корреляции. В нашем блоге вы также можете ознакомиться с информацией об обновлениях, которые платформа KUMA получила в первом, втором и третьем кварталах 2024 года.

Подробнее о нашей SIEM-системе Kaspersky Unified Monitoring and Analysis Platform можно узнать на официальной странице продукта.