Obter nomes de login de conta e senhas na forma de hashes ou texto, é um objetivo primário dos adversários. O dumping ou vazamento de credenciais ajuda os invasores a realizar movimentos laterais, espalhando-se ainda mais pela rede de uma organização, acessando dados restritos e executando comandos e programas com altos privilégios.
Há uma série de ataques de roubo de credenciais bem conhecidos e relativamente simples, como o despejo do banco de dados SAM, o roubo de credenciais com o LSASS ou a extração de senhas do NTLMv2 que foram amplamente cobertas. No entanto, a obtenção de credenciais de login do Windows explorando DLLs do Provedor de Suporte de Segurança é outra técnica viável que as equipes de segurança precisam entender e defender. Neste post, explicamos como os invasores podem explorar DLLs SSP para acessar senhas de texto criptografadas e simples armazenadas no Windows.
Como os atacantes exploram a SSP?
Os sistemas operacionais Windows têm mecanismos de autenticação para executar automaticamente bibliotecas ou programas quando o sistema do computador é inicializado ou durante o login da conta do usuário. A organização pode configurar essa função colocando esses programas em locais designados ou configurando-os em uma entrada do Registro do Windows. Os atacantes podem encontrar uma maneira de manter a persistência modificando essas configurações do sistema ou registrando programas maliciosos da Biblioteca de Links Dinâmicos (DLL), como um SSPs (Security Support Provider, provedor de suporte de segurança) durante a inicialização do sistema e aumentar privilégios.
O que é um Provedor de Suporte de Segurança (SSP)?
Um provedor de suporte de segurança é um DLL que executa operações relacionadas à segurança, como autenticação e disponibiliza um ou mais pacotes de segurança para aplicativos.
O SSPI (Security Support Provider Interface, interface do provedor de suporte de segurança) é um componente de uma API do Windows que funciona como uma interface padrão para vários SSPs. Este componente permite que os métodos de autenticação do Windows se estendam facilmente e adicionem novos SSPs sem codificação adicional.
Os atacantes podem modificar as chaves de registro para injetar SSPs maliciosos, que executam DLLs durante a inicialização do sistema de computador quando o Windows carrega DLLs SSP no processo LSA da Autoridade de Segurança Local (LSA). Os invasores podem então, extrair senhas criptografadas e de texto simples armazenadas no Windows, como senha de domínio do usuário ou PINs de cartão inteligente.
Usando Mimikatz para injetar SSPs (Windows Security Support Providers, provedores de suporte de segurança do Windows) O aplicativo Mimikatz suporta os seguintes dois métodos de implementação de SSPs.
1. Registro de DLLs SSP
Neste método manual, Mimikatz fornece um arquivo DLL que os atacantes copiam para o mesmo local que lSASS. Este arquivo DLL é responsável pela criação do arquivo, que armazena credenciais em plaintext.mimilib.dllC:\Windows\System32kiwissp.log
Duas chaves de registro armazenam a configuração SSP:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages
Os seguintes comandos do PowerShell verificam as entradas de registro para a presença de entradas de configuração do SSP. A figura abaixo mostra como os atacantes podem adicionar alguns SSPs de autenticação padrão do Windows (Kerberos, msv1_0, Schannel, wdigest, tspkg e pku2u) quando a consulta retorna resultados vazios.
Os atacantes também podem verificar as entradas da SSP do editor de registro navegando através de .HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Sempre que os usuários reinicializam seus sistemas de computador, o Windows cria um arquivo sob . Os invasores podem acessar senhas de texto simples armazenadas para todos os usuários de domínio que o sistema autentica.kiwissp.logC:\Windows\System32
2. Atualização na memória de SSPs
Mimikatz suporta outro método de alavancar a técnica na memória que injeta novos SSPs na memória LSASS usando os comandos "privilege::d ebug" e "misc::memssp".
Ao executar os comandos mimikatz acima, os atacantes criarão um arquivo sob o qual contém senhas de texto claro de todos os usuários conectados.mimilsa.logC:\Windows\System32\
Os dois métodos mencionados acima permitem que os invasores injetem um novo SSP em um sistema Windows e registram automaticamente credenciais autenticadas localmente.
Como detectar e mitigar SSPs maliciosos
A solução SentinelOne Ranger AD monitora continuamente o Active Directory (AD) para exposições e configurações erradas nos níveis de domínio, usuário e computador. A solução monitora todos os controladores de domínio e alerta quando um novo Pacote de Segurança é carregado.
Conclusão
Um invasor com privilégios de administrador pode roubar credenciais da memória de sistemas comprometidos. Os atacantes podem adulterar a chave do registro e adicionar SSPs novos ou maliciosos. As organizações devem implantar soluções que auditam e detectam modificações não autorizadas em um controlador de domínio, para evitar que os invasores explorem o Provedor de Suporte à Segurança.
Para saber sobre soluções e suporte em segurança de dados, nós podemos realizar uma apresentação e até mesmo uma demonstração da solução. Para isto basta realizar contato através do e-mail contato@asg.com.br, via telefone (51) 3533-8417, Whatsapp: (51) 99340-7861, ou então em nosso site.
Acompanhe a nossa página no Instagram e fique por dentro das novidades.
Bình luận