LSA protection против mimikatz

“Информационная безопасность” это то, что стоит между деньгами и репутацией вашей компании и злоумышленником. И эта стена строится из маленьких кирпичиков.

Чем больше кирпичиков и чем плотнее они подогнаны друг к другу, тем крепче и надежнее наша стена 🙂

Как вы знаете, “интересная информация” может быть извлечена из памяти достаточно легко. Неприятность в том, что извлечение может быть автоматизировано с помощью разного рода скриптов.

И наша задача усложнить злоумышленнику жизнь и выграть немного времени чтобы адекватно отреагировать на атаку.

Тема сегодняшнего разговора – LSA protection.

Во многих компаниях используются jump сервера для подключения к продуктивным системам. И мне кажется –  jump лучшие кандидаты для включение   LSA protection (Напоминаю, изменения в продуктивной среде должны проводиться после проверки в тестовом окружении!!!).

Как выглядит настройка и как себя ведет уже известный нам Mimikatz  при включенной опции защиты и без нее.

Начинаем с чистого листа. Jump server и  mimikatz.

LSA1

Внимательный читатель мог обратить внимание на небольшую хитрость – mimikatz запущен не с жесткого диска, с загружен с сайта и выполнен в памяти :).

Включим защиту –

LSA2Перезагрузим сервер и проверим что все в порядке –

 LSA3

И посмотрим как себя ведет наш друг Mimikatz –

LSA4

Видим, что лбом стену ему прошибить не удалось, т.е. нашу стратегию по усложнению жизни злоумышленнику можно признать успешной :).

Возникает очевидный вопрос – а как отключить защиту и насколько легко справится с этой задачей злоумышленник.

 Отключение защиты  не ограничивается изменением ветки в реестре. Нужно выполнить дополнительную магию –

mountvol X: /s

copy C:\LSAPPLConfig.efi X:\EFI\Microsoft\Boot\LSAPPLConfig.efi /Y

bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d “DebugTool” /application osloader

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path “\EFI\Microsoft\Boot\LSAPPLConfig.efi”

bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions %1

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:

mountvol X: /d

И в процессе перезагрузки подтвердить отключение (требуется доступ к консоли сервера. Этот шаг должен вызывать определенные затруднения у злоумышленника, что тоже не противоречит нашей стратегии) –

LSA5

Проверим, что все отключено и Mimikatz снова может воровать пароли из памяти вашего сервера –

LSA6

Не забывайте, что простые вещи бывают очень полезны и их игнорировать не стоит.