Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Credential Guard - это технология изоляции на основе виртуализации для LSASS, которая предотвращает кражу злоумышленниками учетных данных, которые могут быть использованы для передачи хэш- атак. [1] [2] [3] [4] Credential Guard появился в операционной системе Microsoft Windows 10 . [1] Начиная с Windows 10 версии 20H1, Credential Guard доступен только в версиях операционной системы Enterprise и Pro.

Резюме [ править ]

После компрометации системы злоумышленники часто пытаются извлечь любые сохраненные учетные данные для дальнейшего бокового перемещения по сети. Первичной целью является процесс LSASS , в котором хранятся учетные данные NTLM и Kerberos . Credential Guard не позволяет злоумышленникам сбрасывать учетные данные, хранящиеся в LSASS, путем запуска LSASS в виртуализированном контейнере, к которому не может получить доступ даже пользователь с правами SYSTEM. [5] Затем система создает прокси-процесс под названием LSAIso (LSA Isolated) для связи с виртуализированным процессом LSASS. [6] [3] [7]

Техники обхода [ править ]

Существует несколько общих методов кражи учетных данных в системах с Credential Guard:

  • Кейлоггер, запущенный в системе, перехватит любые введенные пароли. [8] [3]
  • Пользователь с правами администратора может установить нового поставщика поддержки безопасности (SSP). Новый SSP не сможет получить доступ к сохраненным хэшам паролей, но сможет перехватывать все пароли после установки SSP. [8] [9]
  • Извлеките сохраненные учетные данные из другого источника, как это выполняется в атаке «Внутренний монолог» (которая использует SSPI для получения взламываемых хэшей NetNTLMv1). [10]

Ссылки [ править ]

  1. ^ a b «Защитите производные учетные данные домена с помощью Credential Guard в Защитнике Windows» . Центр Windows для ИТ-специалистов . Проверено 14 сентября 2018 года .
  2. ^ «Анализ поверхности атаки безопасности на основе виртуализации Windows 10» (PDF) . blackhat.com . Проверено 13 ноября 2018 .
  3. ^ a b c Иосифович Павел ; Руссинович, Марк (5 мая 2017 г.). Внутреннее устройство Windows, часть 1: Архитектура системы, процессы, потоки, управление памятью и многое другое, седьмое издание . Microsoft Press. ISBN 978-0-13-398647-1.
  4. ^ «Шпаргалка Credential Guard» . insights.adaptiva.com . Проверено 13 ноября 2018 .
  5. ^ «Глубокое погружение в Credential Guard, Credential Theft & Lateral Traversal» . Виртуальная академия Microsoft . Проверено 17 сентября 2018 года .
  6. ^ «Демистификация Windows 10 Device Guard и Credential Guard» . Microsoft TechNet, блог Эша . Проверено 17 сентября 2018 года .
  7. ^ «Техника: сброс учетных данных» . attack.mitre.org . Проверено 8 июля 2019 .
  8. ^ a b «Windows Credential Guard и Mimikatz» . nviso labs . 2018-01-09 . Проверено 14 сентября 2018 года .
  9. ^ «Сторонние поставщики поддержки безопасности с Credential Guard» . Центр разработки для Windows . Проверено 14 сентября 2018 года .
  10. ^ «Получение хэшей NTLM без касания LSASS: атака« Внутренний монолог » . andreafortuna.org . Проверено 5 ноября 2018 .