Credential Guard - Credential Guard

Credential Guard это технология изоляции на основе виртуализации для LSASS что предотвращает кражу злоумышленниками учетных данных, которые могут быть использованы для передать хеш атаки.[1][2][3][4] Credential Guard был представлен с Microsoft Windows 10 Операционная система.[1] Начиная с Windows 10 версии 20H1, Credential Guard доступен только в корпоративной версии операционной системы.

Резюме

После компрометации системы злоумышленники часто пытаются извлечь любые сохраненные учетные данные для дальнейшего горизонтального перемещения по сети. Основная цель - это LSASS процесс, который хранит NTLM и Kerberos учетные данные. Credential Guard не позволяет злоумышленникам сбрасывать учетные данные, хранящиеся в LSASS, путем запуска LSASS в виртуализированном контейнере, к которому не может получить доступ даже пользователь с привилегиями SYSTEM.[5] Затем система создает прокси-процесс под названием LSAIso (LSA Isolated) для связи с виртуализированным процессом LSASS.[6][3][7]

Техники обхода

Существует несколько общих методов кражи учетных данных в системах с Credential Guard:

  • Кейлоггер, запущенный в системе, перехватит любые введенные пароли.[8][3]
  • Пользователь с правами администратора может установить нового поставщика поддержки безопасности (SSP). Новый SSP не сможет получить доступ к сохраненным хэшам паролей, но сможет захватывать все пароли после установки SSP.[8][9]
  • Извлеките сохраненные учетные данные из другого источника, как это выполняется в атаке «Внутренний монолог» (которая использует SSPI для получения взломанных хэшей NetNTLMv1). [10]

использованная литература

  1. ^ а б «Защитите производные учетные данные домена с помощью Credential Guard в Защитнике Windows». Центр ИТ-специалистов Windows. Получено 14 сентября 2018.
  2. ^ «Анализ поверхности атаки безопасности на основе виртуализации Windows 10» (PDF). blackhat.com. Получено 13 ноября 2018.
  3. ^ а б c Иосифович Павел; Руссинович Марк (5 мая 2017 г.). Внутреннее устройство Windows, часть 1. Системная архитектура, процессы, потоки, управление памятью и многое другое, седьмое издание.. Microsoft Press. ISBN  978-0-13-398647-1.
  4. ^ "Памятка для Credential Guard". insights.adaptiva.com. Получено 13 ноября 2018.
  5. ^ «Глубокое погружение в Credential Guard, Credential Theft & Lateral Traversal». Виртуальная академия Microsoft. Получено 17 сентября 2018.
  6. ^ «Демистификация Windows 10 Device Guard и Credential Guard». Microsoft TechNet, блог Эша. Получено 17 сентября 2018.
  7. ^ «Техника: сброс учетных данных». attack.mitre.org. Получено 8 июля 2019.
  8. ^ а б "Windows Credential Guard и Mimikatz". nviso labs. 2018-01-09. Получено 14 сентября 2018.
  9. ^ «Сторонние поставщики поддержки безопасности с Credential Guard». Центр разработки для Windows. Получено 14 сентября 2018.
  10. ^ «Получение NTLM-хэшей, не касаясь LSASS: атака« Внутренний монолог ». andreafortuna.org. Получено 5 ноября 2018.