Credential Guard

Credential Guard — это технология изоляции на основе виртуализации для LSASS , которая не позволяет злоумышленникам украсть учетные данные, которые могут быть использованы для передачи хеш- атак. ^[1]^[2]^[3]^[4] Credential Guard был представлен в Microsoft Windows 10 . операционной системе ^[1] Начиная с Windows 10 версии 20H1, Credential Guard доступен только в версии операционной системы Enterprise.

Краткое содержание

После взлома системы злоумышленники часто пытаются извлечь любые сохраненные учетные данные для дальнейшего перемещения по сети. Основной целью является процесс LSASS , в котором хранятся учетные данные NTLM и Kerberos . Credential Guard не позволяет злоумышленникам сбросить учетные данные, хранящиеся в LSASS, запустив LSASS в виртуализированном контейнере, к которому не может получить доступ даже пользователь с системными привилегиями. ^[5] Затем система создает прокси-процесс под названием LSAIso (изолированный LSA) для связи с виртуализированным процессом LSASS. ^[6]^[3]^[7]

Методы обхода

Существует несколько универсальных методов кражи учетных данных в системах с Credential Guard:

Кейлоггер, работающий в системе, фиксирует любые введенные пароли. ^[8]^[3]
Пользователь с правами администратора может установить нового поставщика поддержки безопасности (SSP). Новый SSP не сможет получить доступ к сохраненным хэшам паролей, но сможет перехватывать все пароли после установки SSP. ^[8]^[9]
Извлеките сохраненные учетные данные из другого источника, как это происходит при атаке «Внутренний монолог» (которая использует SSPI для получения взломанных хэшей NetNTLMv1). ^[10]

Ссылки

^ Jump up to: ^а ^б «Защитите учетные данные производного домена с помощью Credential Guard в Защитнике Windows» . Центр ИТ-специалистов Windows . Проверено 14 сентября 2018 г.
^ «Анализ поверхности атаки системы безопасности на основе виртуализации Windows 10» (PDF) . blackhat.com . Проверено 13 ноября 2018 г.
^ Jump up to: ^а ^б ^с Иосифович Павел ; Руссинович, Марк (5 мая 2017 г.). Внутреннее устройство Windows, часть 1: Архитектура системы, процессы, потоки, управление памятью и многое другое, седьмое издание . Майкрософт Пресс. ISBN 978-0-13-398647-1 .
^ «Шпаргалка по защите учетных данных» . www.adaptiva.com . Проверено 13 ноября 2018 г.
^ «Глубокое погружение в защиту учетных данных, кражу учетных данных и боковой обход» . Виртуальная академия Microsoft . Проверено 17 сентября 2018 г.
^ «Windows 10 Device Guard и Credential Guard раскрыты» . Microsoft TechNet, блог Эша . Проверено 17 сентября 2018 г.
^ «Техника: сброс учетных данных» . Attack.mitre.org . Проверено 8 июля 2019 г.
^ Jump up to: ^а ^б «Windows Credential Guard и Mimikatz» . лаборатории нвизо . 09.01.2018 . Проверено 14 сентября 2018 г.
^ «Сторонние поставщики поддержки безопасности с Credential Guard» . Центр разработки Windows . Проверено 14 сентября 2018 г.
^ «Получение NTLM-хэшей, не затрагивая LSASS: атака «внутреннего монолога» . andreafortuna.org . Архивировано из оригинала 26 мая 2018 года . Проверено 5 ноября 2018 г.

[Protect_derived_domain_credentials_with_Windows_Defender_Credential_Guard-1] Jump up to: ^а ^б «Защитите учетные данные производного домена с помощью Credential Guard в Защитнике Windows» . Центр ИТ-специалистов Windows . Проверено 14 сентября 2018 г.

[Analysis_of_the_attack_surface_of_windows_10_virtualization-based_security-2] «Анализ поверхности атаки системы безопасности на основе виртуализации Windows 10» (PDF) . blackhat.com . Проверено 13 ноября 2018 г.

[Windows_Internal_7_-_Volume_1-3] Jump up to: ^а ^б ^с Иосифович Павел ; Руссинович, Марк (5 мая 2017 г.). Внутреннее устройство Windows, часть 1: Архитектура системы, процессы, потоки, управление памятью и многое другое, седьмое издание . Майкрософт Пресс. ISBN 978-0-13-398647-1 .

[Credential_Guard_Cheat_Sheet-4] «Шпаргалка по защите учетных данных» . www.adaptiva.com . Проверено 13 ноября 2018 г.

[Deep_Dive_into_Credential_Guard,_Credential_Theft_&_Lateral_Traversal-5] «Глубокое погружение в защиту учетных данных, кражу учетных данных и боковой обход» . Виртуальная академия Microsoft . Проверено 17 сентября 2018 г.

[Windows_10_Device_Guard_and_Credential_Guard_Demystified-6] «Windows 10 Device Guard и Credential Guard раскрыты» . Microsoft TechNet, блог Эша . Проверено 17 сентября 2018 г.

[ATT&CK_Credential_Dumping-7] «Техника: сброс учетных данных» . Attack.mitre.org . Проверено 8 июля 2019 г.

[Windows_Credential_Guard_&_Mimikatz-8] Jump up to: ^а ^б «Windows Credential Guard и Mimikatz» . лаборатории нвизо . 09.01.2018 . Проверено 14 сентября 2018 г.

[Third_party_Security_Support_Providers_with_Credential_Guard-9] «Сторонние поставщики поддержки безопасности с Credential Guard» . Центр разработки Windows . Проверено 14 сентября 2018 г.

[Retrieving_NTLM_Hashes_without_touching_LSASS:_the_“Internal_Monologue”_Attack-10] «Получение NTLM-хэшей, не затрагивая LSASS: атака «внутреннего монолога» . andreafortuna.org . Архивировано из оригинала 26 мая 2018 года . Проверено 5 ноября 2018 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]