В недавнем отчете выделены новые методы, используемые хакерской группировкой LockBit для обхода систем безопасности. Вместо привычных атак злоумышленники применяют сложные техники, включая манипуляцию правами доступа к реестру в среде Windows. Это позволяет им избежать обнаружения и поддерживать стойкость в компрометированных системах.
Техники манипуляции правами доступа
Манипулирование правами доступа к журналу событий — это ключевая тактика LockBit, которая включает:
- Изменение разрешений SDDL, отвечающих за доступ к критически важным ресурсам.
- Переопределение прав доступа к каналам событий Windows, таким как AMSI/Debug Channel и других.
- Использование устаревших утилит Windows для изменения дескрипторов безопасности.
Уязвимости SDDL
Неправильные настройки, связанные с языком определения дескрипторов безопасности (SDDL), создают серьезные риски. Как отмечается в отчете, SDDL может служить как для повышения безопасности, так и для злоупотреблений. Например, злоумышленники могут устанавливать ограниченный доступ для пользователей, что затрудняет защитникам мониторинг вредоносной активности.
Например, изменения в журналах AMSI могут скрывать предупреждения от антивирусного программного обеспечения, что затрудняет обнаружение угроз и задерживает реагирование на них.
Необходимость мониторинга и защиты
Исследования показывают, что хакеры, такие как «White Dev 89», используют устаревшие утилиты, такие как subinacl.exe, для манипуляции с SDDL. Это подчеркивает необходимость активного мониторинга подобных инструментов как возможных индикаторов вредоносной активности.
Рекомендации по защите
Для защиты от таких угроз требуется комплексный подход:
- Решения для обнаружения изменений в SDDL.
- Механизмы мониторинга событий аутентификации.
- Регулярные проверки настроек на наличие уязвимых компонентов.
В заключение, постоянное совершенствование стратегий защиты и активный аудит информационных систем помогут организациям более эффективно противостоять угрозам от группировок, подобных LockBit.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "LockBit: манипуляция SDDL для скрытых атак в Windows".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
