В ходе атак на инфраструктуру различных компаний злоумышленники все чаще прибегают к манипуляции с модулями, взаимодействующими с процессом Local Security Authority (LSA). Это позволяет им получать доступ к учетным данным пользователей и закрепиться в системе, повысить свои привилегии или развить атаку на другие системы атакуемой компании. Поэтому при подготовке очередного ежеквартального обновления для нашей SIEM-системы Kaspersky Unified Monitoring and Analysis Platform мы добавили правила, служащие для детектирования таких попыток. По классификации MITRE ATT&CK, новые правила позволяют выявлять техники T1547.002, T1547.005 и T1556.002.
Оглавление
В чем суть техник T1547.002, T1547.005 и T1556.002?
Оба вышеупомянутых варианта техники T1547 подразумевают загрузку процессом LSA вредоносных модулей. Подтехника 002 описывает добавление вредоносных DLL-библиотек с пакетами проверки подлинности Windows (Windows Authentication Packages), а подтехника 005 — библиотек с пакетами поставщиков безопасности (Security Support Providers). Загрузка этих модулей позволяет злоумышленникам получить доступ к памяти процесса LSA, то есть к критическим данным, таким как учетные данные пользователей.
Техника T1556.002 описывает сценарий, когда атакующий регистрирует в системе вредоносные DLL-библиотеки фильтров паролей (Password Filter), которые по сути являются механизмом, принуждающим к исполнению парольных политик. Когда легитимный пользователь меняет пароль или же устанавливает новый, процесс LSA сверяет его со всеми зарегистрированными фильтрами, при этом он вынужден передавать фильтрам пароли в открытом, нешифрованном виде. То есть если злоумышленнику удается внедрить в систему свой вредоносный фильтр паролей, то он сможет собирать пароли при каждом запросе.
Все три техники подразумевают подкладывание вредоносных библиотек в директорию C:Windowssystem32, а также их регистрацию в ветке системного реестра SYSTEMCurrentControlSetControlLSA с ключами Authentication Packages для T1547.002, Security Packages для T1547.005 и Notification Packages для T1556.002.
Как KUMA SIEM противостоит техникам T1547.002, T1547.005 и T1556.002
Для противодействия данным техникам в Kaspersky Unified Monitoring and Analysis Platform будут добавлены правила R154_02–R154_10, детектирующие, помимо прочего, следующие события:
Загрузка подозрительных пакетов аутентификации, пакетов парольных фильтров и модулей SSP (Security Support Provider) с помощью событий 4610, 4614, 4622 соответственно.
Команды в cmd.exe и powershell.exe, направленные на модификацию ветки реестра LSA и ключей Authentication Packages, Notification Packages, Security Packages.
Изменения в ветке реестра LSASecurity Packages, которые могут включать вредоносный файл с помощью события изменения реестра 4657.
Что еще мы улучшаем в обновлении KUMA
В очередном обновлении мы также добавляем правило R999_99, которое служит для детектирования изменения критичных атрибутов аккаунтов в Active Directory, отвечающих за выполнение различных действий при каждом входе в систему, таких, например, как Script-Path и msTSInitialProgram.
Эти атрибуты отвечают за выполнение скриптов при входе в систему. То есть скриптов, которые выполняются каждый раз, когда пользователь входит в сеть. Это делает их удобной мишенью для злоумышленников с целью закрепления в сети. Манипуляции с этими атрибутами могут свидетельствовать о несанкционированных попытках закрепления в системе или повышения привилегий, то есть применения техники T1037.003 по классификации MITRE ATT&CK.
Стратегия обнаружения этих манипуляций заключается в мониторинге журналов событий Windows, в частности события с идентификатором 5136. Это событие регистрирует любые изменения, внесенные в объекты в Active Directory, включая изменения атрибутов.
Новые и доработанные нормализаторы
В свежем обновлении мы также добавляем в нашу SIEM-систему нормализаторы, позволяющие работать со следующими источниками событий:
[OOTB] McAfee Endpoint DLP syslog[OOTB] Lastline Enterprise syslog cef
[OOTB] MongoDB syslog
[OOTB] GajShield Firewall syslog
[OOTB] Eltex ESR syslog
[OOTB] Linux auditd syslog for KUMA 3.2
[OOTB] Barracuda Cloud Email Security Gateway syslog
[OOTB] Yandex Cloud
[OOTB] InfoWatch Person Monitor SQL
[OOTB] Kaspersky Industrial CyberSecurity for Networks 4.2 syslog
Кроме того, наши эксперты доработали следующие нормализаторы:
[OOTB] Microsoft Products via KES WIN[OOTB] Microsoft Products for KUMA 3
[OOTB] KSC from SQL
[OOTB] Ideco UTM syslog
[OOTB] KEDR telemetry
[OOTB] ViPNet TIAS syslog
[OOTB] PostgreSQL pgAudit syslog
[OOTB] KSC PostgreSQL
[OOTB] Linux auditd syslog for KUMA 3.2
С полным перечнем поддерживаемых источников событий в Kaspersky Unified Monitoring and Analysis Platform версии 3.4 можно ознакомиться в разделе технической поддержки, где также доступна информация о правилах корреляции. В нашем блоге вы также можете ознакомиться с информацией об обновлениях, которые платформа KUMA получила в первом, втором и третьем кварталах 2024 года.
Подробнее о нашей SIEM-системе Kaspersky Unified Monitoring and Analysis Platform можно узнать на официальной странице продукта.
Блог Касперского