Bezpieczeństwo Windows

[Grandalf]

Możliwość wykonania zrzutu danych uwierzytelniających systemu Windows przez grupy APT (ang. Advanced Persistent Threat) i innych threat actors jest poważnym zagrożeniem szczególnie dla przedsiębiorstw i innych organizacji. Baza wiedzy

Zaloguj lub Zarejestruj się aby zobaczyć!

, która jest tworzona głównie dla wspierania obrony przed zagrożeniami w cyberprzestrzeni zawiera opisy technik i taktyk pochodzących z obserwacji rzeczywistych ataków. Niniejszy tekst dotyczy techniki o identyfikatorze

Zaloguj lub Zarejestruj się aby zobaczyć!

, czyli metody poznania danych uwierzytelniających systemów z rodziny Windows za pomocą zrzutu pamięci procesu LSASS (ang. Local Security Authority Subsystem Service).

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[Grandalf]

Oprogramowanie BloodHound korzysta z

Zaloguj lub Zarejestruj się aby zobaczyć!

, aby odkryć trudne do znalezienia i często niezamierzone relacje w środowisku Active Directory oraz Azure. Zarówno atakujący jak i obrońcy mogą użyć tego narzędzia, aby łatwo zidentyfikować złożone ścieżki ataku oraz urządzenia, które mogą przechowywać cenne zasoby czy zawierać konta użytkowników z wysokimi uprawnieniami.

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[Grandalf]

Omawiając uprawnienia do obiektów (na przykład plików) zazwyczaj mówi się o ACL. Jest to skrót od Access Control List i wcale nie jest oczywiste co taka lista może zawierać. Poczynając od rozróżnienia DACL/SACL, poprzez wpisy warunkowe, aż po skrajnie rzadko występujące wynalazki jak atrybuty zasobu (Resource Attributes) opisywane przez struktury SYSTEM_RESOURCE_ATTRIBUTE_ACE. Na początek warto wiedzieć, że ACL (czyli lista) składa się z pewnej ilości ACE (Access Control Entries), czyli pojedynczych wpisów różnego typu.

Zaloguj lub Zarejestruj się aby zobaczyć!