Проект EvilLsassTwin на GitHub, размещенный в репозитории Nimperiments, посвящен конкретному методу извлечения учетных данных из процесса Local Security Authority Subsystem Service (LSASS) в системах Windows.
📌Цель: Цель проекта — продемонстрировать метод сброса учетных данных из процесса LSASS, который является распространенной целью злоумышленников, стремящихся получить конфиденциальную информацию, такую как пароли и токены.
📌Техника: Метод предполагает создание «двойника» процесса LSASS. Этот двойной процесс используется для обхода определенных механизмов безопасности, которые защищают исходный процесс LSASS от прямого доступа.
📌Внедрение: Проект предусматривает детальную реализацию методики, включая необходимый код и шаги для воспроизведения процесса. Это включает в себя создание дубликата процесса LSASS, использование дублирующего процесса для чтения памяти исходного процесса LSASS, извлечение учетных данных из памяти исходного процесса LSASS.
📌Доступность кода: Полный исходный код и документация доступны на странице GitHub, что позволяет пользователям детально изучить и понять технологию.
Влияние и последствия для отрасли
📌Повышенный риск кражи учетных данных: технология EvilLsassTwin выявляет уязвимость процесса LSASS, в котором хранится конфиденциальная информация, такая как зашифрованные пароли, хэши NT, хэши LM и запросы Kerberos. Злоумышленники, использующие этот метод, могут получить несанкционированный доступ к этим учетным данным, что может привести к потенциальным утечкам данных и несанкционированному доступу к критически важным системам.
📌Распространение и повышение привилегий: Как только злоумышленники получают учетные данные из процесса LSASS, они могут использовать их для распространения по сети, повышая свои привилегии и компрометируя дополнительные системы. Это может привести к широкомасштабной компрометации сети, что затруднит организациям сдерживание атаки.
📌Реальные примеры: Атака программы-вымогателя BlackCat является ярким примером того, как злоумышленники использовали сброс данных из памяти LSASS для извлечения учетных данных. Они изменили конфигурацию WDigest, чтобы считывать пароли учетных записей пользователей, и использовали такие инструменты, как Mimikatz, для выполнения дампа, что позволило им получить дополнительный доступ и перемещаться по сети в поперечном направлении.