LockBit: манипуляция SDDL для скрытых атак в Windows

LockBit: манипуляция SDDL для скрытых атак в Windows

В недавнем отчете выделены новые методы, используемые хакерской группировкой LockBit для обхода систем безопасности. Вместо привычных атак злоумышленники применяют сложные техники, включая манипуляцию правами доступа к реестру в среде Windows. Это позволяет им избежать обнаружения и поддерживать стойкость в компрометированных системах.

Техники манипуляции правами доступа

Манипулирование правами доступа к журналу событий — это ключевая тактика LockBit, которая включает:

  • Изменение разрешений SDDL, отвечающих за доступ к критически важным ресурсам.
  • Переопределение прав доступа к каналам событий Windows, таким как AMSI/Debug Channel и других.
  • Использование устаревших утилит Windows для изменения дескрипторов безопасности.

Уязвимости SDDL

Неправильные настройки, связанные с языком определения дескрипторов безопасности (SDDL), создают серьезные риски. Как отмечается в отчете, SDDL может служить как для повышения безопасности, так и для злоупотреблений. Например, злоумышленники могут устанавливать ограниченный доступ для пользователей, что затрудняет защитникам мониторинг вредоносной активности.

Например, изменения в журналах AMSI могут скрывать предупреждения от антивирусного программного обеспечения, что затрудняет обнаружение угроз и задерживает реагирование на них.

Необходимость мониторинга и защиты

Исследования показывают, что хакеры, такие как «White Dev 89», используют устаревшие утилиты, такие как subinacl.exe, для манипуляции с SDDL. Это подчеркивает необходимость активного мониторинга подобных инструментов как возможных индикаторов вредоносной активности.

Рекомендации по защите

Для защиты от таких угроз требуется комплексный подход:

  • Решения для обнаружения изменений в SDDL.
  • Механизмы мониторинга событий аутентификации.
  • Регулярные проверки настроек на наличие уязвимых компонентов.

В заключение, постоянное совершенствование стратегий защиты и активный аудит информационных систем помогут организациям более эффективно противостоять угрозам от группировок, подобных LockBit.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: