奧地利因斯布魯克2022年10月25日 /美通社/ -- Windows系統(tǒng)的本地安全驗(yàn)證子系統(tǒng)服務(wù)（LSASS）是網(wǎng)絡(luò)犯罪分子在對(duì)組織網(wǎng)絡(luò)發(fā)起定向攻擊時(shí)的目標(biāo)之一。在本博文中，我們討論了這一進(jìn)程對(duì)定向攻擊的重要性。

https://mma.prnasia.com/media2/1927734/AV_Comparatives_LSASS_Table_Infographic.jpg?p=medium600

從攻擊者角度看，Windows系統(tǒng)機(jī)器上的LSASS進(jìn)程通常是從域用戶獲得有用證書并利用這些證書在目標(biāo)網(wǎng)絡(luò)內(nèi)橫向移動(dòng)的關(guān)鍵。包括定制設(shè)計(jì)惡意軟件等幾種不同的方法可以被攻擊者和紅隊(duì)用來從LSASS進(jìn)程中提取證書。

依靠已安裝安全產(chǎn)品和適用政策對(duì)LSASS證書轉(zhuǎn)儲(chǔ)進(jìn)行保護(hù)可能會(huì)讓攻擊者更加容易或更加困難通過轉(zhuǎn)儲(chǔ)LSASS地址內(nèi)存來掌握Windows系統(tǒng)用戶證書。

一些安全產(chǎn)品包括具體的加固措施，以此保護(hù)LSASS進(jìn)程并防止證書轉(zhuǎn)儲(chǔ)。然而，在某些組織的環(huán)境中并不總是能夠使用這些更具限制性的政策，因?yàn)檫@些政策可能會(huì)對(duì)一些未經(jīng)過妥善編程的傳統(tǒng)應(yīng)用程序或其他應(yīng)用程序造成問題。因此，IT管理員應(yīng)該測(cè)試產(chǎn)品的加固設(shè)置，看其是否具有任何有害的副作用。

此外，藍(lán)隊(duì)仍應(yīng)假設(shè)，即使已安裝安全產(chǎn)品使用特定代碼來阻止LSASS的攻擊，但堅(jiān)定的攻擊者仍可找到一種方法來轉(zhuǎn)儲(chǔ)LSASS進(jìn)程。也就是說，他們?nèi)匀豢赡軓腖SASS進(jìn)程中提取用戶證書。除了具體的LSASS加固措施外，安全產(chǎn)品還可以通過防病毒模塊等方式預(yù)防證書轉(zhuǎn)儲(chǔ)；這可能會(huì)檢測(cè)到已使用的惡意軟件或惡意軟件創(chuàng)建的其他文件，或使用行為檢測(cè)來阻止惡意行為。在某些情況下，安全產(chǎn)品可能無法阻止攻擊，但至少會(huì)發(fā)出警告，從而提醒系統(tǒng)管理員需要調(diào)查的惡意行為。

有些商業(yè)安全產(chǎn)品的LSASS加固措施默認(rèn)為激活。這包括Avast Ultimate Business Security、Bitdefender GravityZone Business Security Enterprise以及Kaspersky Endpoint Detection和Response Expert。微軟還提供了兩個(gè)專門用于保護(hù)LSASS進(jìn)程的功能，即PPL（進(jìn)程保護(hù)機(jī)制）和ASR（攻擊面減少）規(guī)則。PPL在Windows 11上默認(rèn)啟用，但目前在Windows 10上并非如此；Windows 10/11的專業(yè)版、企業(yè)版和教育版均包含該功能。ASR規(guī)則可與Microsoft Defender一起在組織網(wǎng)絡(luò)中使用，目前都需要在兩個(gè)操作系統(tǒng)上進(jìn)行主動(dòng)配置。

安全產(chǎn)品中的證書轉(zhuǎn)儲(chǔ)保護(hù)測(cè)試

鑒于防止LSASS證書轉(zhuǎn)儲(chǔ)的重要性，AV-Comparatives在2022年5月嘗試了一些商業(yè)安全產(chǎn)品，以確定其針對(duì)LSASS攻擊的加固措施的優(yōu)秀程度。

以下我們列出了一些產(chǎn)品示例（由Avast、Bitdefender、Kaspersky和Microsoft制造），這些產(chǎn)品展示了憑借各自的LSASS加固措施，針對(duì)我們測(cè)試中使用的15種攻擊進(jìn)行的有效保護(hù)。

以上表格包括以下產(chǎn)品的測(cè)試結(jié)果（開啟LSASS保護(hù)設(shè)置）：Avast Ultimate Business Security、Bitdefender GravityZone Business Security Enterprise、Kaspersky Endpoint Detection、Response Expert和Microsoft Defender for Endpoint。

微軟要求我們發(fā)布Microsoft Defender for Endpoint的另一項(xiàng)測(cè)試結(jié)果，即我們?cè)跊]有開啟其LSASS保護(hù)功能（PPL和ASR）的情況下進(jìn)行的測(cè)試。這是為了檢測(cè)微軟的其他安全功能是否能夠檢測(cè)到上述攻擊。對(duì)于每一個(gè)測(cè)試案例，AV-Comparatives都檢查了在安全產(chǎn)品檢測(cè)到或者激活警告時(shí)，這些攻擊是否被正確地歸因?yàn)镸ITRE ATT&CK策略和技術(shù)。如果安全產(chǎn)品阻止了攻擊，實(shí)驗(yàn)室會(huì)檢查管理員控制臺(tái)提供了哪些有關(guān)威脅的信息。這項(xiàng)測(cè)試所使用的方法和其他詳細(xì)信息請(qǐng)見本PDF文件。如需了解更多信息，請(qǐng)閱讀微軟的此篇博文。

電子郵箱：media@av-comparatives.org
電話：+43 720115542
聯(lián)系人：Peter Stelzhammer