Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Detectar y prevenir volcados de credenciales LSASS en Windows


Obtener las credenciales del sistema operativo del usuario es uno de los principales objetivos de los actores de amenazas porque estas credenciales sirven como puerta de entrada y permiten movimiento lateral. Una técnica que utilizan los atacantes es apuntar a las credenciales en la memoria del proceso Local Security Authority Subsystem Service (LSASS) de Windows porque puede almacenar no solo las credenciales del sistema operativo de un usuario actual, sino también las de un administrador de dominio.





   El volcado de credenciales LSASS se observó por primera vez en las Tácticas, Técnicas y Procedimientos (TTP) de varios grupos sofisticados, incluidos actores que Microsoft rastrea como HAFNIUM y GALLIUM y se ha vuelto frecuente para cometer delitos, especialmente con el aumento de la ransomware como una economía de servicios.

Por lo tanto, es importante detectar y detener el robo de credenciales del sistema operativo porque puede significar la diferencia entre comprometer o cifrar un dispositivo o una red completa. Las soluciones de seguridad deben proporcionar medidas y capacidades específicas para ayudar a fortalecer el proceso LSASS; por ejemplo, Microsoft Defender para Endpoint tiene detecciones avanzadas y una regla de reducción de superficie de ataque (ASR) dedicada para bloquear el robo de credenciales de LSASS.




En mayo de 2022, Microsoft participó en una evaluación independiente de AV-Comparatives específicamente sobre la detección y el bloqueo de la técnica de volcado de credenciales LSASS [PDF].La prueba, que evaluó varias plataformas de protección de puntos finales (EPP) se enfocó en una sola técnica de ataque, y Defender for Endpoint pasó los 15 casos de prueba utilizados (100%) para volcar las credenciales del sistema operativo del usuario del proceso LSASS, incluído los casos utilizando la configuración predeterminada de Defender. 

   Volcado de credenciales LSASS en la naturaleza

Volcar las credenciales de LSASS es importante para los atacantes porque si logran volcar las contraseñas de dominio, pueden, por ejemplo, usar herramientas legítimas como PsExec o Windows Management Instrumentation (WMI) para moverse lateralmente a través de la red. También pueden usar técnicas como Pass-the-Hash si logran obtener los hash de la contraseña.

La siguiente tabla es una instantánea de las técnicas de robo de credenciales más populares que los actores utilizaron de marzo a agosto de 2022:

Living-off-the-land binary (LOLBin) or hacking tool Threat actor that frequently uses this (not exhaustive)
Comsvc.dll (and its “MiniDump” export) loaded by rundll32.exe DEV-0270
Mimikatz (and its modified variants) DEV-0674
Procdump.exe (with -ma command line option) DEV-0555
Taskmgr.exe DEV-0300

La primera columna muestra la técnica que los atacantes utilizan con mayor frecuencia en su intento de volcar las credenciales de LSASS, mientras que la segunda columna muestra qué actor de amenazas utiliza esta técnica con mayor frecuencia. Según los incidentes que rastreamos desde marzo hasta agosto de 2022, los ataques de robo de credenciales que usan LOLBins como comsvc.dll, procdump.exe o taskmgr.exe siguen siendo populares. Estos LOLBins son binarios legítimos firmados digitalmente que ya están presentes en el dispositivo de destino o se descargan en el sistema para que el atacante los use indebidamente para actividades maliciosas.

Microsoft Defender Antivirus evita la ejecución de estas líneas de comando debido a sus capacidades de bloqueo de línea de comando síncrono.

Prueba AV-Comparatives

Para evaluar las capacidades de EPP y EDR frente a la técnica de volcado de credenciales LSASS, AV-Comparatives ejecutó 15 casos de prueba diferentes para volcar las credenciales del proceso LSASS utilizando herramientas de hacking disponibles públicamente como Mimikatz (que el probador modificó para eludir las firmas antivirus) y otras desarrolladas de forma privada. 



   Protección del proceso LSASS con defensa coordinada contra amenazas y fortalecimiento del sistema

La evolución continua del panorama de amenazas ha visto ataques que aprovechan el robo de credenciales del sistema operativo, y los actores de amenazas continuarán encontrando nuevas formas de volcar las credenciales LSASS en sus intentos de evadir la detección. 

Microsoft informa que la regla ASR por sí sola evitó con éxito todas las técnicas probadas. La regla LSASS ASR es una protección genérica pero efectiva que los clientes pueden implementar para detener los ataques de volcado de credenciales LSASS en modo usuario actualmente conocidos. Por lo tanto, los clientes de Defender deben habilitar esta regla ASR, junto con la protección contra manipulaciones, como una capa de protección adicional para el proceso LSASS.

Los administradores de Windows también pueden realizar lo siguiente para fortalecer aún más el proceso LSASS en los dispositivos:

Finalmente, los clientes con Azure Active Directory (Azure AD) pueden seguir las recomendaciones sobre hardening:


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.