Windows安全——什么是LSASS转储?如何防护?
高级持续性威胁(APT)组织及其他攻击者获取Windows凭证转储的能力,对企业级组织构成严重威胁。MITRE ATT&CK知识库中编号T1003.001的技术,描述了通过转储本地安全认证子系统服务(LSASS)进程内存来获取Windows凭证的方法。
LSASS进程内存可能包含哈希值、PIN码甚至明文密码等凭证。例如在stigviewer.com网站的安全技术实施指南中,建议通过修改注册表键值禁用WDigest认证:
|
|
这能降低从LSASS内存读取明文密码的风险。BlackCat勒索软件攻击就是因WDigest配置被篡改导致密码内存转储的典型案例。
认证与授权
认证(AuthN)与授权(AuthZ)不可混用。认证验证身份真实性,授权则决定系统访问权限。例如:“攻击者以普通用户身份越权修改文件”——浏览目录是授权行为,修改文件则属越权操作。
Windows域环境架构
企业级Windows环境通常采用Active Directory(或Azure AD)域服务,通过域控制器集中管理成千上万台计算机。与域环境相对的是工作组模式,适用于家庭或小型网络,账户信息存储在本地而非服务器。
LSASS进程解析
lsass.exe(本地安全认证服务器服务)进程负责域环境和工作组的认证工作,管理以下核心组件:
- 安全账户管理器(SAM)
- Kerberos认证协议
- NTLM认证协议
- SSL协议
- NetLogon服务
LSASS内存转储技术
通过任务管理器(图2)或Sysinternals套件的Process Explorer等工具可获取进程内存快照。转储文件包含机器代码、内存变量等数据,若在用户登录后转储,可能提取到密码哈希。
攻击者常用工具包括:
- PPLdump
- HandleKatz
- nanodump
- Mimikatz
实际攻击案例中,BlackCat勒索软件通过SMB协议注入远程桌面软件,修改WDigest配置后使用Mimikatz工具提取LSASS内存凭证。
LSA保护机制(RunAsPPL)
微软的LSA Protection(RunAsPPL)通过以下注册表项启用保护:
|
|
启用Secure Boot时,该配置会写入固件不可篡改。可通过事件查看器验证保护状态(图5),或在Process Explorer中查看"Protection"列(图6-7)。尝试转储受保护进程会触发访问拒绝错误(图8)。
防御方案
- 启用LSA Protection
- 禁用WDigest认证
- 配置Credential Guard
- 限制本地管理员权限
- 监控LSASS进程访问行为
- 使用受保护进程(PPL)
- 定期更新杀毒软件特征库
(文中涉及的图形标注说明:图2-任务管理器转储操作界面,图3-Defender检测警报,图5-事件查看器验证,图6-7-Process Explorer保护状态显示,图8-转储失败提示)