Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

LockBit: манипуляция SDDL для скрытых атак в Windows

1
2 мин
В недавнем отчете выделены новые методы, используемые хакерской группировкой LockBit для обхода систем безопасности. Вместо привычных атак злоумышленники применяют сложные техники, включая манипуляцию правами доступа к реестру в среде Windows. Это позволяет им избежать обнаружения и поддерживать стойкость в компрометированных системах. Манипулирование правами доступа к журналу событий — это ключевая тактика LockBit, которая включает: Неправильные настройки, связанные с языком определения дескрипторов безопасности (SDDL), создают серьезные риски. Как отмечается в отчете, SDDL может служить как для повышения безопасности, так и для злоупотреблений. Например, злоумышленники могут устанавливать ограниченный доступ для пользователей, что затрудняет защитникам мониторинг вредоносной активности. Например, изменения в журналах AMSI могут скрывать предупреждения от антивирусного программного обеспечения, что затрудняет обнаружение угроз и задерживает реагирование на них. Исследования показывают
Оглавление

В недавнем отчете выделены новые методы, используемые хакерской группировкой LockBit для обхода систем безопасности. Вместо привычных атак злоумышленники применяют сложные техники, включая манипуляцию правами доступа к реестру в среде Windows. Это позволяет им избежать обнаружения и поддерживать стойкость в компрометированных системах.

Техники манипуляции правами доступа

Манипулирование правами доступа к журналу событий — это ключевая тактика LockBit, которая включает:

  • Изменение разрешений SDDL, отвечающих за доступ к критически важным ресурсам.
  • Переопределение прав доступа к каналам событий Windows, таким как AMSI/Debug Channel и других.
  • Использование устаревших утилит Windows для изменения дескрипторов безопасности.

Уязвимости SDDL

Неправильные настройки, связанные с языком определения дескрипторов безопасности (SDDL), создают серьезные риски. Как отмечается в отчете, SDDL может служить как для повышения безопасности, так и для злоупотреблений. Например, злоумышленники могут устанавливать ограниченный доступ для пользователей, что затрудняет защитникам мониторинг вредоносной активности.

Например, изменения в журналах AMSI могут скрывать предупреждения от антивирусного программного обеспечения, что затрудняет обнаружение угроз и задерживает реагирование на них.

Необходимость мониторинга и защиты

Исследования показывают, что хакеры, такие как «White Dev 89», используют устаревшие утилиты, такие как subinacl.exe, для манипуляции с SDDL. Это подчеркивает необходимость активного мониторинга подобных инструментов как возможных индикаторов вредоносной активности.

Рекомендации по защите

Для защиты от таких угроз требуется комплексный подход:

  • Решения для обнаружения изменений в SDDL.
  • Механизмы мониторинга событий аутентификации.
  • Регулярные проверки настроек на наличие уязвимых компонентов.

В заключение, постоянное совершенствование стратегий защиты и активный аудит информационных систем помогут организациям более эффективно противостоять угрозам от группировок, подобных LockBit.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "LockBit: манипуляция SDDL для скрытых атак в Windows".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются