译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1131
术语表: /attack/glossary
Windows 身份验证包 DLL 在系统启动时由本地安全机构(LSA)进程加载。 它们支持操作系统的多登录过程和多安全协议。
攻击者可以使用 LSA 身份验证包提供的自动启动机制来实现持久化,方法是在 Windows 注册表 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
位置放置对二进制文件的引用,该键值为"Authentication Packages"=
。在加载身份验证包时,系统将执行该二进制文件。
Windows 8.1、Windows Server 2012 R2 以及后续版本可能通过设置注册表键 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL
, 使 LSA 作为受保护轻进程 (PPL) 运行,它要求所有由 LSA 加载的 DLL 都必须由 Microsoft 签名。
监视注册表以查看对 LSA 注册表项的更改。
监控 DLL 加载的 LSA 进程。
当没有签名的 DLL 试图设置注册表键 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe
的 AuditLevel = 8, 使其加载到 LSA 中时,Windows 8.1 和 Windows Server 2012 R2 可能会生成事件。