Темная сторона LSASS

Проект ‎EvilLsassTwin‏ ‎на ‎GitHub, размещенный ‎в ‎репозитории ‎Nimperiments,‏ ‎посвящен ‎конкретному‏ ‎методу‏ ‎извлечения ‎учетных ‎данных‏ ‎из ‎процесса‏ ‎Local ‎Security ‎Authority ‎Subsystem‏ ‎Service‏ ‎(LSASS) ‎в‏ ‎системах ‎Windows.

📌Цель: Цель‏ ‎проекта ‎— ‎продемонстрировать ‎метод ‎сброса‏ ‎учетных‏ ‎данных ‎из‏ ‎процесса ‎LSASS,‏ ‎который ‎является ‎распространенной ‎целью ‎злоумышленников,‏ ‎стремящихся‏ ‎получить‏ ‎конфиденциальную ‎информацию,‏ ‎такую ‎как‏ ‎пароли ‎и‏ ‎токены.

📌Техника:‏ ‎Метод ‎предполагает‏ ‎создание ‎«двойника» ‎процесса ‎LSASS. ‎Этот‏ ‎двойной ‎процесс‏ ‎используется‏ ‎для ‎обхода ‎определенных‏ ‎механизмов ‎безопасности,‏ ‎которые ‎защищают ‎исходный ‎процесс‏ ‎LSASS‏ ‎от ‎прямого‏ ‎доступа.

📌Внедрение: ‎Проект‏ ‎предусматривает ‎детальную ‎реализацию ‎методики, ‎включая‏ ‎необходимый‏ ‎код ‎и‏ ‎шаги ‎для‏ ‎воспроизведения ‎процесса. ‎Это ‎включает ‎в‏ ‎себя‏ ‎создание‏ ‎дубликата ‎процесса‏ ‎LSASS, ‎использование‏ ‎дублирующего ‎процесса‏ ‎для‏ ‎чтения ‎памяти‏ ‎исходного ‎процесса ‎LSASS, ‎извлечение ‎учетных‏ ‎данных ‎из‏ ‎памяти‏ ‎исходного ‎процесса ‎LSASS.

📌Доступность‏ ‎кода: ‎Полный‏ ‎исходный ‎код ‎и ‎документация‏ ‎доступны‏ ‎на ‎странице‏ ‎GitHub, ‎что‏ ‎позволяет ‎пользователям ‎детально ‎изучить ‎и‏ ‎понять‏ ‎технологию.

Влияние ‎и‏ ‎последствия ‎для‏ ‎отрасли

📌Повышенный ‎риск ‎кражи ‎учетных ‎данных:‏ ‎технология‏ ‎EvilLsassTwin‏ ‎выявляет ‎уязвимость‏ ‎процесса ‎LSASS,‏ ‎в ‎котором‏ ‎хранится‏ ‎конфиденциальная ‎информация,‏ ‎такая ‎как ‎зашифрованные ‎пароли, ‎хэши‏ ‎NT, ‎хэши‏ ‎LM‏ ‎и ‎запросы ‎Kerberos.‏ ‎Злоумышленники, ‎использующие‏ ‎этот ‎метод, ‎могут ‎получить‏ ‎несанкционированный‏ ‎доступ ‎к‏ ‎этим ‎учетным‏ ‎данным, ‎что ‎может ‎привести ‎к‏ ‎потенциальным‏ ‎утечкам ‎данных‏ ‎и ‎несанкционированному‏ ‎доступу ‎к ‎критически ‎важным ‎системам.

📌Распространение‏ ‎и‏ ‎повышение‏ ‎привилегий: ‎Как‏ ‎только ‎злоумышленники‏ ‎получают ‎учетные‏ ‎данные‏ ‎из ‎процесса‏ ‎LSASS, ‎они ‎могут ‎использовать ‎их‏ ‎для ‎распространения‏ ‎по‏ ‎сети, ‎повышая ‎свои‏ ‎привилегии ‎и‏ ‎компрометируя ‎дополнительные ‎системы. ‎Это‏ ‎может‏ ‎привести ‎к‏ ‎широкомасштабной ‎компрометации‏ ‎сети, ‎что ‎затруднит ‎организациям ‎сдерживание‏ ‎атаки.

📌Реальные‏ ‎примеры: ‎Атака‏ ‎программы-вымогателя ‎BlackCat‏ ‎является ‎ярким ‎примером ‎того, ‎как‏ ‎злоумышленники‏ ‎использовали‏ ‎сброс ‎данных‏ ‎из ‎памяти‏ ‎LSASS ‎для‏ ‎извлечения‏ ‎учетных ‎данных.‏ ‎Они ‎изменили ‎конфигурацию ‎WDigest, ‎чтобы‏ ‎считывать ‎пароли‏ ‎учетных‏ ‎записей ‎пользователей, ‎и‏ ‎использовали ‎такие‏ ‎инструменты, ‎как ‎Mimikatz, ‎для‏ ‎выполнения‏ ‎дампа, ‎что‏ ‎позволило ‎им‏ ‎получить ‎дополнительный ‎доступ ‎и ‎перемещаться‏ ‎по‏ ‎сети