› › ›

通过 Windows API 访问 LSASS 进程

编辑

通过 Windows API 访问 LSASS 进程编辑

识别对 LSASS 句柄的访问尝试，这可能表明试图从 LSASS 内存中转储凭据。

规则类型: eql

规则索引:

logs-endpoint.events.api-*
logs-m365_defender.event-*

严重程度: 中

风险评分: 47

运行频率: 5 分钟

搜索的索引范围: now-9m（日期数学格式，另请参阅其他回溯时间）

每次执行的最大警报数: 100

参考:

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1003.001/T1003.001.md

标签:

域：终端
操作系统：Windows
用例：威胁检测
策略：凭据访问
策略：执行
数据源：Elastic Defend
数据源：Microsoft Defender for Endpoint

版本: 9

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南编辑

分类和分析

调查通过 Windows API 访问 LSASS 进程

本地安全机构子系统服务 (LSASS) 是一个关键的 Windows 组件，负责管理用户身份验证和安全策略。攻击者可能会尝试访问 LSASS 句柄以从其内存中转储凭据，这些凭据可用于横向移动和权限提升。

此规则通过监控针对“lsass.exe”进程的特定 API 调用（OpenProcess、OpenThread）来识别对 LSASS 的访问尝试。

注意：本调查指南使用 Elastic Stack 8.5.0 版本中引入的Osquery Markdown 插件。旧版 Elastic Stack 将在本指南中显示未渲染的 Markdown。

可能的调查步骤

调查在过去 48 小时内与用户/主机相关的其他警报。
调查访问 LSASS 句柄的进程的进程执行链（父进程树）。
检查其可执行文件的流行程度、它们是否位于预期位置以及它们是否使用有效的数字签名进行签名。
确定在环境中首次看到进程可执行文件的时间，以及这种行为是否在过去发生过。
验证活动是否与计划的补丁、更新、网络管理员活动或合法软件安装无关。
调查主题进程的任何异常行为，例如网络连接、加载的 DLL、注册表或文件修改以及生成的任何子进程。
评估进程请求的访问权限（`process.Ext.api.parameters.desired_access` 字段）。这份Microsoft 文档可能有助于理解。
如果有迹象表明 LSASS 内存已成功转储，请调查可能被盗用的帐户。分析师可以通过搜索到目标主机的登录事件（例如，4624）来做到这一点。
检查主机是否存在表明可疑活动的派生工件
使用私有沙盒分析系统分析进程的可执行文件。
观察和收集有关沙盒和警报主题主机中以下活动的信息
尝试联系外部域和地址。
使用 Elastic Defend 网络事件，通过按进程的 process.entity_id 进行过滤，来确定主题进程联系的域和地址。
检查 DNS 缓存中是否存在可疑或异常条目。
!{osquery{"label":"Osquery - 检索 DNS 缓存","query":"SELECT * FROM dns_cache"}}
使用 Elastic Defend 注册表事件检查进程树中相关进程访问、修改或创建的注册表项。
检查主机服务中是否存在可疑或异常条目。
!{osquery{"label":"Osquery - 检索所有服务","query":"SELECT description, display_name, name, path, pid, service_type, start_type, status, user_account FROM services"}}
!{osquery{"label":"Osquery - 检索在用户帐户上运行的服务","query":"SELECT description, display_name, name, path, pid, service_type, start_type, status, user_account FROM services WHERE\nNOT (user_account LIKE %LocalSystem OR user_account LIKE %LocalService OR user_account LIKE %NetworkService OR\nuser_account == null)\n"}}
!{osquery{"label":"Osquery - 检索带有 Virustotal 链接的未签名服务可执行文件","query":"SELECT concat(https://www.virustotal.com/gui/file/, sha1) AS VtLink, name, description, start_type, status, pid,\nservices.path FROM services JOIN authenticode ON services.path = authenticode.path OR services.module_path =\nauthenticode.path JOIN hash ON services.path = hash.path WHERE authenticode.result != trusted\n"}}
使用 PowerShell Get-FileHash cmdlet 检索文件的 SHA-256 哈希值，并在 VirusTotal、Hybrid-Analysis、CISCO Talos、Any.run 等资源中搜索哈希值的存在和信誉。

误报分析

如果由于预期活动导致此规则在您的环境中产生过多噪音，请考虑添加例外 - 最好在组合使用 process.executable、process.code_signature.subject_name 和 process.Ext.api.parameters.desired_access_numeric 条件的情况下。

相关规则

可疑的 Lsass 进程访问 - 128468bf-cab1-4637-99ea-fdf3780a4609
通过 LSASS 中的 DuplicateHandle 进行的潜在凭据访问 - 02a4576a-7480-4284-9327-548a806b5e48
LSASS 内存转储句柄访问 - 208dbe77-01ed-4954-8d44-1e5751cb20de

响应和修复

根据分类的结果启动事件响应流程。
如果确认存在恶意活动，请进行更广泛的调查以确定攻击范围并确定适当的修复步骤。
隔离相关主机以防止进一步的攻击后行为。
如果分类识别出恶意软件，请在环境中搜索其他受感染主机。
实施临时网络规则、程序和分段以遏制恶意软件。
停止可疑进程。
立即阻止已识别的攻击指标 (IoC)。
检查受影响的系统是否存在其他恶意软件后门，例如反向 shell、反向代理或攻击者可能用来重新感染系统的 dropper。
删除并阻止分类过程中识别的恶意工件。
调查攻击者入侵或使用的系统上的凭据泄露情况，以确保识别所有被盗用的帐户。重置这些帐户和其他可能被盗用的凭据（例如电子邮件、业务系统和 Web 服务）的密码。
运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
重新安装主机操作系统或将受感染的文件还原到干净版本。
确定攻击者滥用的初始向量，并采取措施防止通过同一向量再次感染。
使用事件响应数据更新日志记录和审计策略，以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询编辑

api where host.os.type == "windows" and
  process.Ext.api.name in ("OpenProcess", "OpenThread") and Target.process.name : "lsass.exe" and
  not
  (
    process.executable : (
        "?:\\ProgramData\\GetSupportService*\\Updates\\Update_*.exe",
        "?:\\ProgramData\\Microsoft\\Windows Defender\\Platform\\*\\MsMpEng.exe",
        "?:\\Program Files (x86)\\Asiainfo Security\\OfficeScan Client\\NTRTScan.exe",
        "?:\\Program Files (x86)\\Blackpoint\\SnapAgent\\SnapAgent.exe",
        "?:\\Program Files (x86)\\eScan\\reload.exe",
        "?:\\Program Files (x86)\\Google\\Update\\GoogleUpdate.exe",
        "?:\\Program Files (x86)\\Kaspersky Lab\\*\\avp.exe",
        "?:\\Program Files (x86)\\N-able Technologies\\Reactive\\bin\\NableReactiveManagement.exe",
        "?:\\Program Files (x86)\\N-able Technologies\\Windows Agent\\bin\\agent.exe",
        "?:\\Program Files (x86)\\Trend Micro\\*\\CCSF\\TmCCSF.exe",
        "?:\\Program Files*\\Windows Defender\\MsMpEng.exe",
        "?:\\Program Files\\Bitdefender\\Endpoint Security\\EPSecurityService.exe",
        "?:\\Program Files\\Cisco\\AMP\\*\\sfc.exe",
        "?:\\Program Files\\Common Files\\McAfee\\AVSolution\\mcshield.exe",
        "?:\\Program Files\\EA\\AC\\EAAntiCheat.GameService.exe",
        "?:\\Program Files\\Elastic\\Agent\\data\\elastic-agent-*\\components\\agentbeat.exe",
        "?:\\Program Files\\Elastic\\Agent\\data\\elastic-agent-*\\components\\metricbeat.exe",
        "?:\\Program Files\\Elastic\\Agent\\data\\elastic-agent-*\\components\\osqueryd.exe",
        "?:\\Program Files\\Elastic\\Agent\\data\\elastic-agent-*\\components\\packetbeat.exe",
        "?:\\Program Files\\ESET\\ESET Security\\ekrn.exe",
        "?:\\Program Files\\Fortinet\\FortiClient\\FortiProxy.exe",
        "?:\\Program Files\\Huntress\\HuntressAgent.exe",
        "?:\\Program Files\\LogicMonitor\\Agent\\bin\\sbshutdown.exe",
        "?:\\Program Files\\Microsoft Security Client\\MsMpEng.exe",
        "?:\\Program Files\\Qualys\\QualysAgent\\QualysAgent.exe",
        "?:\\Program Files\\TDAgent\\ossec-agent\\ossec-agent.exe",
        "?:\\Program Files\\Topaz OFD\\Warsaw\\core.exe",
        "?:\\Program Files\\VMware\\VMware Tools\\vmtoolsd.exe",
        "?:\\Windows\\AdminArsenal\\PDQDeployRunner\\*\\exec\\Sysmon64.exe",
        "?:\\Windows\\Sysmon.exe",
        "?:\\Windows\\Sysmon64.exe",
        "?:\\Windows\\System32\\csrss.exe",
        "?:\\Windows\\System32\\MRT.exe",
        "?:\\Windows\\System32\\msiexec.exe",
        "?:\\Windows\\System32\\taskhostw.exe",
        "?:\\Windows\\System32\\RtkAudUService64.exe",
        "?:\\Windows\\System32\\wbem\\WmiPrvSE.exe",
        "?:\\Windows\\SysWOW64\\wbem\\WmiPrvSE.exe",
        "?:\\Program Files\\Microsoft Monitoring Agent\\Agent\\Health Service State\\*\\pmfexe.exe",
        "?:\\Program Files\\Goverlan Inc\\GoverlanAgent\\GovAgentx64.exe",
        "?:\\Program Files (x86)\\CheckPoint\\Endpoint Security\\EFR\\EFRService.exe",
        "?:\\Program Files (x86)\\CyberCNSAgent\\osqueryi.exe",
        "?:\\Program Files (x86)\\Trend Micro\\Security Agent\\TMASutility.exe",
        "?:\\Program Files (x86)\\Kaspersky Lab\\KES*\\avp.exe",
        "?:\\Program Files\\Wise\\Wise Memory Optimizer\\WiseMemoryOptimzer.exe",
        "?:\\Windows\\tenable_mw_scan_142a90001fb65e0beb1751cc8c63edd0.exe"
    ) and not ?process.code_signature.trusted == false
  )

框架：MITRE ATT&CK^TM

策略
- 名称：凭据访问
- ID：TA0006
- 参考 URL：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：操作系统凭据转储
- ID：T1003
- 参考 URL：https://attack.mitre.org/techniques/T1003/
子技术
- 名称：LSASS 内存
- ID：T1003.001
- 参考 URL：https://attack.mitre.org/techniques/T1003/001/
策略
- 名称：执行
- ID：TA0002
- 参考 URL：https://attack.mitre.org/tactics/TA0002/
技术
- 名称：本机 API
- ID：T1106
- 参考 URL：https://attack.mitre.org/techniques/T1106/

« LSASS 内存转储句柄访问通过启动文件夹进行横向移动 »