Пакеты аутентификации в Windows имеют решающее значение для управления процессами входа в систему и протоколами безопасности. Эти пакеты, обычно в виде динамических библиотек (DLL), загружаются процессом Local Security Authority (LSA) при запуске системы. Их основная роль заключается в облегчении различных процессов входа в систему и реализации протоколов безопасности, что делает их неотъемлемым компонентом системы аутентификации в Windows.
Использование злоумышленниками пакета аутентификации
Злоумышленники часто используют системы Windows, манипулируя реестром, чтобы получить постоянный и повышенный доступ. Распространенной тактикой является использование ключа HKLM\SYSTEM\CurrentControlSet\Control\Lsa, который является критическим для процессов аутентификации.
Для этого злоумышленники могут выполнить команду, подобную следующей:
| 1 | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "Authentication Packages" /t REG_MULTI_SZ /d "C:\Path\To\evil.dll" /f |
Эта команда добавляет вредоносную библиотеку DLL (evil.dll) в список пакетов аутентификации. При загрузке системы процесс LSA, работающий с высокими привилегиями, загружает эту DLL. В результате вредоносный код получает повышенные привилегии и беспрепятственно исполняется в системном контексте. Внедряя свой код в такой критически важный системный процесс, злоумышленники гарантируют, что их полезная нагрузка останется активной и незамеченной, выполняясь при каждом запуске системы.
Например, согласно анализу песочницы , проведенному в июне 2024 года, мы видим механизм сохранения, связанный с системой Windows Local Security Authority.
| Адрес | Код операции | Инструкция | Мета информация |
| 00007FF670FF2CE5 | 488D15645D0000 | lea rdx, qword ptr [00007FF670FF8A50h] | System\CurrentControlSet\Control\LsaExtensionConfig\ LsaSrv (Hidden) |
| 00007FF670FF4436 | 488D1543480000 | lea rdx, qword ptr [00007FF670FF8C80h] | System\CurrentControlS et\Control\Lsa (Hidden) |
Вредоносная программа манипулирует путями реестра System\CurrentControlSet\Control\LsaExtensionConfig\LsaSrv и System\CurrentControlSet\Control\Lsa, о чем свидетельствуют инструкции, загружающие эти строки в регистр rdx. Эти ключи реестра играют важную роль в настройке расширений LSA и пакетов аутентификации, которые необходимы для процессов входа в систему и обеспечения безопасности. Модифицируя эти ключи, вредоносная программа обеспечивает загрузку своего вредоносного кода высокопривилегированным процессом LSA (lsass.exe) при каждом запуске системы, добиваясь его устойчивости.
Атрибут «Hidden» в метаданных говорит о том, что вредоносная программа использует методы обфускации, чтобы скрыть эти изменения реестра от стандартных инструментов проверки, что повышает ее скрытность. Инструкции lea rdx, qword ptr подготавливают адреса ключей реестра для дальнейших операций, таких как запрос, модификация или внедрение вредоносных DLL. Такое поведение соответствует распространенной тактике, когда злоумышленники используют ключи Lsa или LsaExtensionConfig для загрузки своей полезной нагрузки, позволяя выполнять ее в доверенном и повышенном контексте процесса LSA.
Это делает обнаружение и устранение последствий особенно сложным, поскольку вмешательство в эти ключи реестра или процесс lsass.exe может дестабилизировать систему. В конечном итоге такой метод сохранения обеспечивает активность вредоносного ПО при перезагрузках, встраиваясь в критически важный системный процесс, который обеспечивает повышенные привилегии и скрытность.