Bilgisayar Korsanları Oturum Açma Kimlik Bilgilerini Sızdırmak İçin LSASS Sürecini Kötüye Kullanıyor


Tehdit aktörleri, kimlik bilgileri çalmak için sistemin ortamına ve altyapısına göre değişen çeşitli yöntemler kullanıyor.

Tehdit aktörleri çoğu zaman hesap kimlik bilgilerini çıkarmak için LSASS sürecini terk eder.

Bunun için birçok şüpheli özellik sunan Mimikatz gibi araçlar kullanılabilir. Ancak güvenlik ürünlerinin çoğu, tehdit aktörlerinin bildiği bu tür kötü amaçlı araçlara odaklanıyor.

Bypass tespit aracı olarak meşru araçları kötü amaçla kullanan, LSASS belleğini boşaltmaya yönelik birçok yeni yöntem keşfedilmiştir.

Sysinternals’ın ProcDump’ı bu amaçlar için yaygın olarak kullanılan bir araçtı ancak İşlem Gezgini, Görev Yöneticisi vb. gibi başka yöntemler de tespit edildi.

Üstelik bu araçların kullanıcılar tarafından meşru bir şekilde kullanılması nedeniyle, bu şüpheli faaliyetlerin tespit edilmesi ve kötüye kullanılmasının önlenmesi zordur.

Belge

Ücretsiz Web Semineri

MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.

Bilgisayar korsanları LSASS İşlem Belleğini Kötüye Kullanıyor

LSASS Süreci

Yerel bir kullanıcı oturum açtığında, lsass.exe işlemine yüklenen “msv1_0.dll” dosyasında uygulanan NTLM kimlik doğrulama yöntemi kullanılır. Süreçte yalnızca kimlik doğrulama için kullanılan parolanın NT karma değeri bulunduğundan, tehdit aktörü düz metin parolayı elde etmede zorlukla karşı karşıya kalır.

Ancak tehdit aktörü, orijinal parolayı elde etmek için birden fazla sözlük saldırısı kullanabilir. Şifrenin alınamadığı en kötü durumlarda, tehdit aktörü çalınan hesabın NT hash’ini kullanarak NTLM protokol yöntemini kullanarak sisteme giriş yapabilir.

Mimikatz

Bu program, hesap kimlik bilgilerini çıkarma özelliğine sahiptir; bu özellik aynı zamanda, çıkarılan NT karmasını görüntülemek için kullanılabilecek LSASS işlem belleğinin dökümünü yapmak için temel komutları kullanan bir özellik de sağlar. Üstelik bu açık kaynaklı bir araçtır ve tehdit aktörlerinin bunu birçok yüksek profilli saldırıda kullanma konusunda önemli bir geçmişi vardır.

GitHub'ı taklit etmek (Kaynak: AhnLab)
GitHub’ı taklit etmek (Kaynak: AhnLab)

sekurlsa::logonpasswords ve sekurlsa::minidump, LSASS işlemi belleğini boşaltmak, NT karmasını çıkarmak ve LSASS işlemine doğrudan erişmeden hesap kimlik bilgilerini çıkarmak için kullanılan komutlardır.

ProcDump

Şu anda Microsoft’un sahibi olduğu Sysinternals, belirli anıların dökümünü alma özelliğini destekleyen bu aracı geliştirdi. Üstelik ProcDump aracı, tehdit aktörlerinin LSASS işlem belleğini boşaltmak için düzenli olarak kullandığı Microsoft sertifikasıyla imzalanmış meşru bir dosyadır.

Bu araç, ProcDump sürecini gösterir ve hesap kimlik bilgilerini çalmak için Mimikatz’ı kullanarak oluşturulan bellek dökümü dosyasını çıkarır.

Süreç araştırmacısı

Yine Sysinternals tarafından geliştirilen bu araç, çalışan süreçlerin bir listesini gösterebilir, bilgi arayabilir, süreçleri kontrol edebilir ve daha birçok özelliğe sahiptir. Ayrıca, hesap kimlik bilgilerini çıkarmak amacıyla LSASS işlem belleğinin dökümünü yapmak için kullanılabilecek belirli işlem belleklerinin dökümünü de destekler.

Process Explorer Bellek Dökümü (Kaynak: AhnLab)
Process Explorer Bellek Dökümü (Kaynak: AhnLab)

Görev Yöneticisi

Bu, Microsoft Windows işletim sistemi tarafından sağlanan ve hesap kimlik bilgileri atıldığında hiçbir şüphe yaratmayacak varsayılan bir araçtır. Ayrıca çalışan süreçlere, yüklü hizmetlere, başlangıç ​​programlarına ve tehdit aktörlerinin kullanabileceği bir dizi bilgi hakkında eksiksiz bir genel bakış sağlar.

Görev Yöneticisi Bellek Dökümü (Kaynak: AhnLab)
Görev Yöneticisi Bellek Dökümü (Kaynak: AhnLab)

Diğer araçlar gibi bu araç da hesap kimlik bilgilerini çıkarmak için kullanılabilecek LSASS belleğinin dökümünü sağlar.

Comsvcs.dll

Bu, COM+ hizmet özelliklerinden sorumlu olan ve varsayılan olarak Windows’a yüklenen bir DLL dosyasıdır.

Bu dosya aynı zamanda belirli işlem belleğini boşaltmak için kullanılabilecek bir “Mini döküm” işlevi de sunar; bu nedenle bu, tehdit aktörleri tarafından kimlik bilgisi çıkarmak amacıyla LSASS işlem belleğini boşaltmak için kullanılabilir.

Comsvsc.DLL
Comsvsc.DLL (Kaynak: AhnLab)

ASEC, aracın kullanımını, işlevlerini, çıkarma yöntemlerini vb. açıklayan ayrıntılı bir rapor yayınladı.

Davranış Tespiti

  • Yürütme/EDR.Mimikatz.M11444
  • Yürütme/EDR.Behavior.M10484
  • CredentialAccess/EDR.ProcExp.M11597
  • CredentialAccess/EDR.Event.M11566
  • CredentialAccess/EDR.Comsvcs.M11596



Source link