(+62) 21 5366 0861 sales@qlicense.com

MODUL BERBAHAYA DAN PROSES LSA

by | Dec 11, 2024 | Blog

Deteksi Taktik yang Melibatkan Pendaftaran DLL Berbahaya dan Peningkatan Lainnya pada Kaspersky SIEM di Kuartal Keempat 2024

Dalam serangan terhadap infrastruktur berbagai perusahaan, para penjahat siber semakin sering memanipulasi modul-modul yang berinteraksi dengan proses Local Security Authority (LSA). Ini memungkinkan mereka untuk mencuri kredensial pengguna, membangun ketahanan dalam sistem, meningkatkan hak akses, atau memperluas serangan ke sistem lain dalam perusahaan target. Oleh karena itu, untuk pembaruan kuartalan terbaru dari sistem SIEM, Kaspersky Unified Monitoring and Analysis Platform (KUMA), KUMA telah menambahkan aturan-aturan yang dirancang untuk mendeteksi upaya-upaya tersebut. Dalam klasifikasi MITRE ATT&CK, aturan baru ini dapat mendeteksi teknik T1547.002, T1547.005, dan T1556.002.

Apa itu teknik T1547.002, T1547.005, dan T1556.002?

Kedua varian teknik T1547 yang disebutkan di atas melibatkan penggunaan proses LSA untuk memuat modul berbahaya. Sub-teknik 002 menggambarkan penambahan pustaka tautan dinamis (DLL) berbahaya dengan paket otentikasi Windows, sementara sub-teknik 005 melibatkan DLL dengan paket penyedia dukungan keamanan (SSP). Memuat modul-modul ini memungkinkan penyerang untuk mengakses memori proses LSA, yang dapat berisi data kritis seperti kredensial pengguna.

Teknik T1556.002 menggambarkan skenario di mana penyerang mendaftarkan DLL penyaring kata sandi berbahaya di sistem. Penyaring ini pada dasarnya adalah mekanisme untuk menegakkan kebijakan kata sandi. Ketika pengguna yang sah mengubah kata sandi atau menetapkan kata sandi baru, proses LSA membandingkannya dengan semua penyaring yang terdaftar, dan dipaksa untuk menangani kata sandi dalam bentuk teks biasa, yaitu tidak terenkripsi. Jika penyerang berhasil memperkenalkan penyaring kata sandi berbahaya ke dalam sistem, mereka dapat mengumpulkan kata sandi dengan setiap permintaan.

Ketiga teknik ini melibatkan penempatan pustaka berbahaya di direktori C:\Windows\system32 dan pendaftarannya di registri sistem di bawah kunci-kunci berikut pada cabang SYSTEM\CurrentControlSet\Control\LSA: Authentication Packages untuk T1547.002, Security Packages untuk T1547.005, dan Notification Packages untuk T1556.002.

Bagaimana SIEM KUMA Melawan Teknik T1547.002, T1547.005, dan T1556.002

Untuk melawan teknik-teknik ini, Kaspersky Unified Monitoring and Analysis Platform akan diperbarui dengan aturan R154_02–R154_10, yang mendeteksi, antara lain, peristiwa-peristiwa berikut:

  • Pemuaian paket otentikasi yang mencurigakan, paket penyaring kata sandi, dan modul penyedia dukungan keamanan menggunakan peristiwa 4610, 4614, dan 4622, masing-masing.
  • Perintah yang dieksekusi di cmd.exe dan powershell.exe yang ditujukan untuk memodifikasi cabang registri LSA dan kunci Authentication Packages, Notification Packages, dan Security Packages.
  • Perubahan (terdeteksi melalui modifikasi registri peristiwa 4657) cabang registri LSA yang dapat memungkinkan file berbahaya.

Pembaruan Lainnya dalam Kaspersky Unified Monitoring and Analysis Platform

Dalam pembaruan ini, kami juga memperkenalkan aturan R999_99, yang mendeteksi perubahan atribut kritis akun Active Directory, seperti scriptPath dan msTSInitialProgram, yang memungkinkan berbagai tindakan dilakukan saat login.

Atribut-atribut ini menetapkan skrip untuk dijalankan setiap kali pengguna masuk ke sistem. Ini menjadikannya target yang menarik bagi penyerang yang bertujuan untuk membangun ketahanan di jaringan. Manipulasi atribut ini dapat menunjukkan upaya yang tidak sah untuk mendapatkan pijakan di sistem atau meningkatkan hak akses — teknik T1037.003 dalam klasifikasi MITRE ATT&CK.

Strategi untuk mendeteksi manipulasi ini adalah dengan memantau log peristiwa Windows — terutama peristiwa 5136. Peristiwa ini mencatat setiap perubahan yang dilakukan pada objek di Active Directory, termasuk modifikasi atribut.

Setelah pembaruan terbaru, platform SIEM KUMA akan menyediakan lebih dari 700 aturan. Dengan demikian, pada akhir tahun 2024, solusi KUMA akan mencakup 400 teknik MITRE ATT&CK. Tentu saja, KUMA tidak bertujuan untuk membuat aturan untuk mendeteksi setiap teknik yang dijelaskan dalam matriks. Sebagian besar tidak dapat sepenuhnya ditangani karena sifatnya — misalnya, yang melibatkan tindakan yang dilakukan di luar perimeter yang dilindungi atau teknik-teknik yang secara definisi tidak sepenuhnya tercakup oleh solusi SIEM. Namun, pada kuartal keempat tahun ini, KUMA fokus untuk memperluas cakupan teknik MITRE ATT&CK serta meningkatkan logika deteksi untuk teknik yang sudah tercakup.

Normalisasi Baru dan yang Ditingkatkan

Dalam pembaruan terbaru, KUMA juga menambahkan normalizer ke dalam sistem SIEM yang mendukung sumber peristiwa berikut:

  • [OOTB] McAfee Endpoint DLP syslog
  • [OOTB] LastLine Enterprise syslog cef
  • [OOTB] MongoDb syslog
  • [OOTB] GajShield Firewall syslog
  • [OOTB] Eltex ESR syslog
  • [OOTB] Linux auditd syslog untuk KUMA 3.2
  • [OOTB] Barracuda Cloud Email Security Gateway syslog
  • [OOTB] Yandex Cloud
  • [OOTB] InfoWatch Person Monitor SQL
  • [OOTB] Kaspersky Industrial CyberSecurity for Networks 4.2 syslog

Selain itu, para ahli KUMA telah meningkatkan normalizer berikut:

  • [OOTB] Microsoft Products via KES WIN
  • [OOTB] Microsoft Products untuk KUMA 3
  • [OOTB] KSC dari SQL
  • [OOTB] Ideco UTM syslog
  • [OOTB] KEDR telemetry
  • [OOTB] Vipnet TIAS syslog
  • [OOTB] PostgreSQL pgAudit syslog
  • [OOTB] KSC PostgreSQL

[OOTB] Linux auditd syslog untuk KUMA 3.2

View Cart Checkout Continue Shopping
Situs Togel
depsoit 5000
linitoto
Slot Deposit 1000
deposit 1000
situs toto slot