LSA protection против mimikatz

«Информационная безопасность» это то, что стоит между деньгами и репутацией вашей компании и злоумышленником. И эта стена строится из маленьких кирпичиков.

Чем больше кирпичиков и чем плотнее они подогнаны друг к другу, тем крепче и надежнее наша стена :)

Как вы знаете, «интересная информация» может быть извлечена из памяти достаточно легко. Неприятность в том, что извлечение может быть автоматизировано с помощью разного рода скриптов.

И наша задача усложнить злоумышленнику жизнь и выграть немного времени чтобы адекватно отреагировать на атаку.

Тема сегодняшнего разговора — LSA protection.

Во многих компаниях используются jump сервера для подключения к продуктивным системам. И мне кажется -  jump лучшие кандидаты для включение   LSA protection (Напоминаю, изменения в продуктивной среде должны проводиться после проверки в тестовом окружении!!!).

Как выглядит настройка и как себя ведет уже известный нам Mimikatz  при включенной опции защиты и без нее.

Начинаем с чистого листа. Jump server и  mimikatz.

LSA1

Внимательный читатель мог обратить внимание на небольшую хитрость — mimikatz запущен не с жесткого диска, с загружен с сайта и выполнен в памяти :).

Включим защиту -

LSA2Перезагрузим сервер и проверим что все в порядке -

 LSA3

И посмотрим как себя ведет наш друг Mimikatz -

LSA4

Видим, что лбом стену ему прошибить не удалось, т.е. нашу стратегию по усложнению жизни злоумышленнику можно признать успешной :).

Возникает очевидный вопрос — а как отключить защиту и насколько легко справится с этой задачей злоумышленник.

 Отключение защиты  не ограничивается изменением ветки в реестре. Нужно выполнить дополнительную магию -

mountvol X: /s

copy C:\LSAPPLConfig.efi X:\EFI\Microsoft\Boot\LSAPPLConfig.efi /Y

bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d «DebugTool» /application osloader

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path «\EFI\Microsoft\Boot\LSAPPLConfig.efi»

bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions %1

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:

mountvol X: /d

И в процессе перезагрузки подтвердить отключение (требуется доступ к консоли сервера. Этот шаг должен вызывать определенные затруднения у злоумышленника, что тоже не противоречит нашей стратегии) -

LSA5

Проверим, что все отключено и Mimikatz снова может воровать пароли из памяти вашего сервера -

LSA6

Не забывайте, что простые вещи бывают очень полезны и их игнорировать не стоит.