使用Microsoft Defender Endpoint检测和阻止凭证转储

admin 2022年5月17日10:05:01安全文章评论12 views5436字阅读18分7秒阅读模式

        凭证转储(Credential dumping)或密码转储是网络罪犯访问网络的一种技术。他们通过网络钓鱼进入计算机,利用管理员权限控制,并监控网络以找到更多暴露的凭证(横向移动)。凭证转储是从操作系统层和软件层获取账户登录密码信息的过程,通常哈希或明文密码的形式。

       当攻击者在系统中建立了一个立足点后,主要工作是寻找高特权凭证。凭证非常有用,因为它们可以提供对关键系统的访问。窃取用户凭证是攻击者在整个受害者网络横向移动的关键步骤。对保护和监控任何环境都很重要。

 

什么是凭证转储?

       凭证转储(MITRE T1003 )是指从操作系统和软件获取登录信息。在操作系统中,凭证存储在多个位置,以供日常操作使用。

       凭证转储指的是从受害者计算机中提取或转储用户身份验证凭证(如用户名和密码)的任何方法。这种黑客技术是在计算机被攻击者入侵后实施的。用户名和密码对网络罪犯来说非常有价值,可以用来获取敏感信息,也可以获得对整个网络的更多访问。

       凭证转储的关键内容位于内存缓存或应用程序缓存中。最常用的工具是Mimikatz。Mimikatz成为世界上使用最多的黑客工具之一。

       操作系统将密码存储在内存、数据库或文件中,以减少用户输入密码的次数。Windows将密码保存在系统内存/LSA子系统服务中。凭证转储在很大程度上是可能的,因为操作系统将密码存储在内存中,以避免用户重复输入密码。

       凭证转储可能为其他基于凭证的攻击打开大门。如Pass the hash, Pass the Ticket (PTH), Kerberos Golden Ticket, Kerberos Silver Ticket。

 

在哪里偷取凭证?

       在操作系统中,很多应用存储凭证供日常操作使用。通过访问终端,可以在以下位置查找凭证。

  • Kerberos

  • 本地安全授权(LSA)

  • LSA子系统服务(LSASS)

  • Security Account Manager(SAM)

  • WDigest(Legacy protocol)

  • Registry SAM key

  • ......

 

使用工具

       可以使用以下工具:

  • Mimikatz

  • Empire

  • L0phtCrack

  • gsecdump

  • PWDumpX

  • Creddump

  • PowerSploit

  • Procdump

  • .Crackmapexec

  • LSASSY

  • ……

 

常见的行为

       以下行为在现实世界的攻击中很常见。来源:Redacanary.com

  • PowerShell和其他进程(例如Windows任务管理器和Sysinternals ProcDump)从本地安全授权子系统服务(LSASS)访问和转储内存

  • Windows注册表控制工具(reg.exe) 导出包含凭据的Windows 注册表

  • NTDSUtil转储NTDS.dit(Active Directory)

  • Windows凭证编辑器转储NT Lan管理器(NTLM)哈希值

 

凭证转储是如何工作?

       当没有启用其他保护时,凭证转储并不困难。只要能访问端点。

  1. 恶意攻击者找到进入设备的方法。这可能是使用零日漏洞、薄弱的安全性/身份、老版本软件、未打补丁的系统或任何其他方法。

  2. 现在他们可以进入并开始凭证搜索。在凭据转储攻击期间,攻击者通常首先查看的地方是设备RAM,它以纯文本的形式存储没有保护的凭证。攻击者将尝试使用安全账户管理器(SAM)。SAM包含用于登录设备的完整密码哈希表。(主要包括IT账户或本地管理员)。

  3. 拿到这些有效的凭证(或散哈希),攻击者就可以开始横向移动,通过更多的访问拿到金钥匙(管理员凭证)。

 

防止凭证转储攻击

       设备保护对于避免凭据转储攻击至关重要。基于默认的安全和防御技术,可以减少/阻止攻击。使用带有基于签名检测的EDR将有效检测和阻止Mimikatz或凭据转储攻击。

       您的组织可以做一些事情来帮助防止这些攻击。理想情况下,所有过期的Windows操作系统都应该报废。较新的系统默认禁用WDigest导出明文密码。对于较新的系统,仍然可以转储NTLM散列。另一个重要的防御措施是尽可能地限制本地管理访问。

常见保护:

  • 关闭所有过期的Windows操作系统

  • 限制本地管理访问

  • 在Windows 8和Windows Server 2012 R2之前所有Windows操作系统上禁用WDigest功能

  • 禁用LM (Lan Management)哈希

  • 限制域和高特权账户

Defender 保护:

  • Windows defender 凭证卫士

  • 启用Defender防病毒功能

  • 开启 Defender for Endpoint (MDE)

  • 开启 Defender for Identity (MDI) 检测可能攻击

  • 启用攻击面减少规则(ASR);阻止从Windows本地安全授权子系统窃取凭据

       Defender Credential Guard配置正确时,不需要配置Attack Surface Reduction规则。凭证转储作为凭证保护配置的一部分已经被阻止。

 

模拟


       在进行一些技术解释之前,让我们先从一些凭证转储攻击示例开始。


#1 使用任务管理器转储凭证

       如果可以使用远程桌面协议(RDP)或其他图形界面访问受害者设备,Windows任务管理器可以用于创建LSASS内存的转储文件。

       攻击者转储LSASS,需要有SEDebugPrivilege权限。Windows缺省设置是将此权限授予本地管理员。权限检查可以通过以下命令进行:whoami /priv

使用Microsoft Defender Endpoint检测和阻止凭证转储

       打开任务管理器,点击详情,找到 lsass.exe,点击右键,选择生成转储文件

 

使用Microsoft Defender Endpoint检测和阻止凭证转储

       然后可以使用多种工具(Mimikatz/ pypykatz)从转储文件中提取任何存储的凭证和散列。例如切换到mimikatz,来读取.DMP文件。

sekurlsa::minidump C:UsersADMINI~1.OFFAppDataLocalTemplsass.DMP sekurlsa::logonpasswords

使用Microsoft Defender Endpoint检测和阻止凭证转储 


        我们得到了所有活动用户的NTLM哈希值。命令执行成功,因为Debug模式已经打开(默认行为)。在SeDebugPrivilege模式下,程序可以访问低级内存。


#2 使用Procdump转储凭证

        Sysinternals中的Procdump可用于生成LSASS进程的内存转储。Procdump是一个Windows Sysinternals工具。

        使用下面的语法利用Procdump创建LSASS的内存转储。(注意:此进程将被Defender AV阻止)

procdump.exe -accepteula -ma lsass.exe memresult.dmp

使用Microsoft Defender Endpoint检测和阻止凭证转储


 #3 转储LSA Secrets 

        LSA Secrets 存储在注册表下列位置

HKEY_LOCAL_MACHINESECURITYPolicySecrets

        LSA secrets 能够从注册表中直接转储,正常情况下,会被 Defender for Endpoint阻止. 

reg save HKLMSYSTEM system & reg save HKLMsecurity security

        更多资料,请查看

ired.team: Credential Access & Dumping

Whiteoaksecurity: Attacks & Defenses: Dumping LSASS With No Mimikatz


阻止方法


阻止方法 #1 禁用WDigest

        如果你有任何老版本的Windows操作系统(在Windows 8和Windows Server 2012 R2之前),WDigest默认是启用的,应该直接通过组策略禁用。启用时,lasss .exe会在内存中保留用户的明文密码副本,这样就有被窃取的风险。

        要禁用WDigest,请安装Windows补丁KB 2871997,并将注册表项设置为0。

HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigestUseLogonCredential


阻止方法 #2 启用ASR

        适用于Windows 10及以上版本、Server 2012R2、Server 2016、Server 2019及以上版本。阻止从Windows本地安全授权子系统(LSASS)窃取凭证,阻止不受信任的进程直接访问LSASS内存。

        重要提示:攻击面减少(ASR)规则“阻止从Windows本地安全授权子系统(lasss .exe)窃取凭证”的默认状态将从“未配置”更改为“已配置”,默认模式将设置为“阻止”。

        Windows中的Microsoft Defender Credential Guard可防止试图从LSASS中提取凭证。Credential Guard有时会给硬件支持带来问题。启用特定的“攻击面减少”规则可以减少硬件需求未通过的影响。

启用后的结果

        启用后,无法使用工具或任务管理器转储凭据

如何开启ASR?

        攻击面减少(ASR)功能可以使用GPO、PowerShell、MEM/Intune或MECM启用。始终建议在启用完整规则之前,先以审计模式启动几天。

        开启ASR https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/enable-attack-surface-reduction?view=o365-worldwide

Windows Intune

        Windows Intune是一款新的桌面管理工具。这款工具主要针对中小型企业用户,可以通过网络前端为Windows PC提供管理和安全服务。传统的此类软件需要有本地服务器支持,不过Windows Intune是一种云计算服务,由微软服务器托管,可为企业省去服务器配置成本。

        攻击面减少可以使用Intune启用。目前使用Intune可以实现多种ASR配置方法:

  • 端点安全-攻击表面减少

  • 端点安全-安全基线/攻击面减少规则

  • 配置概要文件—模板/端点保护

  • 配置概要文件-设置目录

       要使用端点安全配置文件配置攻击面减少,请打开端点管理器门户并点击端点安全->攻击面减少。为Windows 10和更高版本的配置文件创建一个新的攻击面减少规则配置文件

使用Microsoft Defender Endpoint检测和阻止凭证转储

PowerShell

       PowerShell通过Set-MpPreference模块可以启用。9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2是正确的ID

## block mode Set-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled 

## audit mode Set-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions AuditMode


阻止方法 #3 Defender Credential Guard

       Microsoft Defender Credential Guard使用基于虚拟化的安全来隔离和保护j机密凭证(例如,NTLM密码哈希和Kerberos ticket-granting tickets),以阻止 pass-the-hash 或者 pass-the-ticket (PtH)攻击。

       Credential Guard使用基于虚拟化的安全性来隔离机密凭证/凭证。只有特权系统才能访问。

       可以使用组策略、Intune和注册表开启凭证保护。凭证转储作为凭证保护配置的一部分已经被阻止。

Windows Intune

       目前有许多选项可用于开启Defender Credential Guard。开启新的帐户保护(预览)策略。

       要使用端点安全配置文件配置Credential Guard,请打开端点管理器门户并点击端点安全->帐户保护。创建一个新的帐户保护配置文件。

       开启Credential Guard并配置值;开启UEFI锁定。配置UEFI锁定时,禁用Credential Guard的唯一方法是将此配置设置为禁用并物理清除UEFI。安全性方面的最佳实践。

 

使用Microsoft Defender Endpoint检测和阻止凭证转储


使用Microsoft Defender Endpoint检测和阻止凭证转储


阻止方法 #4  Defender for Identity

       对于检测基于凭证攻击的早期状态(例如,Pass the hash, Pass the Ticket (PTH),Kerberos Golden Ticket, Kerberos Silver Ticket),强烈建议使用Defender for Identity

 

使用Microsoft Defender Endpoint检测和阻止凭证转储


本文译自:

https://jeffreyappel.nl/detect-and-block-credential-dumps-with-defender-for-endpoint-attack-surface-reduction/

(完)

原文始发于微信公众号(安全行者老霍):使用Microsoft Defender Endpoint检测和阻止凭证转储

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月17日10:05:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  使用Microsoft Defender Endpoint检测和阻止凭证转储 http://cn-sec.com/archives/1010017.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: