1. 더 어려워지는 LSASS를 통한 Windows 패스워드 탐지
Microsoft는 Windows의 자격증명을 도용하려는 공격자의 시도를 차단하기 위해 디폴트로 Microsoft Defender의 ‘Attack Surface Reduction’ 보안 규칙을 활성화 하고 있다.
가장 일반적인 방법으로는 장비에 대해 관리자 권한을 얻은 후 LSASS(Local Seuciryt Authority Server Service) 프로세스의 메모리를 덤프하는 방법이 있다. 해당 메모리 덤프에는 로그인한 사용자의 Windows 자격 증명에 대한 NTLM 해시가 포함되므로 brute-force 및 pass-the-hash 공격에 사용될 수 있다.
기존에도 LSASS 프로세스에 대한 엑세스를 막기 위해 가상 컨테이너에 LSASS를 격리하는 Credential Guard가 있었지만 일부 드라이버나 응용 프로그램과의 충돌 문제가 있었다. 이러한 문제를 방지하기 위해 Microsoft Defender ASR(Attack Surface Reduction) 규칙을 활성화 할 예정이다. 이는 관리 권한이 있더라도 프로세스가 LSASS 프로세스를 열고 메모리 덤프 하는 것을 방지한다.
- 추가로 이와 유사하게 악성코드 실행에 주로 사용되는
wmic명령어도 사용을 중단하기 시작했다고 한다.
다른 백신 솔루션이 설치되면 ASR은 장치에서 비활성화 되며, ASR 규칙을 우회할 수 있는 제외 경로도 존재하는 등 현재의 방식이 완벽한 방어 방법은 아니다.
'깔짝할짝' 카테고리의 다른 글
| 2022-02-17 Thur (0) | 2022.02.17 |
|---|---|
| 2022-02-15 Tue (0) | 2022.02.15 |
| 2022-02-11 Fri (0) | 2022.02.11 |
| 2022-02-10 Thur (0) | 2022.02.10 |
| 2022-02-09 Wed (0) | 2022.02.10 |