新型攻击方式可绕过EDR检测,静默窃取Windows系统凭证
内容提要
研究人员发现一种新攻击技术,能够绕过大多数终端检测与响应(EDR)系统,静默窃取Windows系统中的敏感凭证。该技术利用Windows内部机制,攻击者可在不触发警报的情况下直接读取受保护的注册表配置单元。
关键要点
-
研究人员发现一种新型攻击技术,能够绕过大多数终端检测与响应(EDR)系统。
-
该技术可以静默窃取Windows系统中的敏感凭证信息。
-
攻击者在获取Windows系统初始访问权限后,可以收集凭证进行横向移动,而不会触发安全警报。
-
Windows凭证管理机制通过lsass.exe进程管理敏感信息,使用SAM和SECURITY两个内存数据库。
-
SAM数据库管理用户、组和别名对象,存储用户凭证,但无直接获取明文凭证的API接口。
-
安全数据库管理策略、信任域、账户和机密对象,存储LSA机密信息如缓存的域凭证和机器密钥。
-
访问凭证需要直接与受保护的SAM和SECURITY注册表配置单元交互,这些配置单元仅限SYSTEM权限账户访问。
-
现代安全工具能检测大多数已知的凭证窃取技术,但新型攻击技术能够绕过这些检测。
-
新型双重攻击技术利用NtOpenKeyEx绕过访问控制,直接读取SAM和SECURITY配置单元。
-
攻击者使用RegQueryMultipleValuesW读取注册表值,避免触发EDR警报。
-
该技术使整个操作在内存中完成,不产生磁盘痕迹,避开常规恶意行为检测。
延伸问答
新型攻击技术是如何绕过EDR系统的?
该技术利用Windows内部机制,通过NtOpenKeyEx绕过访问控制,直接读取SAM和SECURITY配置单元,而不触发EDR警报。
攻击者如何静默窃取Windows系统中的凭证?
攻击者在获取初始访问权限后,使用RegQueryMultipleValuesW读取注册表值,避免触发安全警报。
Windows凭证管理机制是如何运作的?
Windows凭证管理机制通过lsass.exe进程管理敏感信息,使用SAM和SECURITY两个内存数据库来存储用户凭证和LSA机密信息。
新型攻击技术对现有安全工具的影响是什么?
该技术能够绕过大多数现代安全工具的检测,证明即使是成熟的防御系统也可能被合法功能所绕过。
EDR系统通常如何监控系统活动?
EDR系统主要依赖内核模式回调例程监控高风险API调用和特定注册表路径,而非所有系统操作。
攻击者在窃取凭证后可以进行什么操作?
攻击者可以利用窃取的凭证进行横向移动,进一步访问其他系统或资源,而不会触发安全警报。
