Комментарии 12
Для снятия дампа для начала требуются, что бы утилиты запускались с полномочиями администратора, верно?
Все верно. Плюс на токене процесса, который делает дамп, должна быть навешана (и активна) привилегия SeDebugPrivilege.
тогда самая первая рекомендациия для в списке должна быть такой: не работайте под админом. Во всяком случае работа под админом должна быть сведена к минимуму и только для выполнения сценариев администрирования. Юзеры уж точно должны сидеть только под юзером.
Конечно, это тоже очень верная рекомендация. Однако зачастую решение отобрать у пользователей локального админа насовсем неприменимо из-за особенностей рабочего процесса сотрудников целевой компании, а рекомендовать всем сотрудникам «безопасно использовать» свои привилегированные локальные учетки не очень надежна в плане ее соблюдения :)
Поэтому лучше всего — на корню срубить потенциальный импакт, который дамп может дать злоумышленнику, а именно, исключить появление в нем привилегированных доменных УЗ.
Юзеры уж точно должны сидеть только под юзеромТрудно защититься, если у юзеров есть физический доступ к диску с системой. Шифровать бессмысленно, ведь юзер должен знать пароль, чтобы загрузиться.
полагаю. что самый распространенный жизненный сценарий это малварь прилетевшая по почте или из инета.
А если в организации юзеры самостоятельно вскрывают системыне блоки с целью прямого заражения системы, то боюсь, что проблема изложенная в статье гораздо менее актуальная чем все остальное. Тут только поможет сегментация привелегированных уч. записей и орг/тех. меры по сценарию, что эта учетка будет скомпрометирована рано или поздно. А вообще конечно тяжелый случай, если в орагнизации такие риски имеют высокую вероятность.
Примерно год назад работал такой способ - https://www.programmersought.com/article/65604621980/ подгрузка через RPC модуля SSP в LSASS, при чем там хитрить вообще не надо было, просто в инит длл вызывался дамп памяти. Касперский достаточно оперативно исправил это по нашему сигналу. Не совсем понятно почему вы не заведете кейс у вендора если ваш способ еще работает - странный redteam.
Из того, с чем я работал в контексте обхода защиты, «Касперский» всегда был в выигрышной позиции (его обходить труднее всего). В плане юзабилити лично мне он тоже нравится больше других вендоров, на домашней тачке уже давно стоит KIS, и я вполне доволен :)
попробуйте crowd strike, зело злобный поведенческий антивирус, полагаю что на рынке у него самый лучше поведенческий анализ. Из минусов - дорогой.
не, как раз наоборот. Это анализ поведения процесса (фаловые операции, создание процессов, контроль API). Ка кправило современные антивирусные решения имеют в своем ядре как анализ бинарников\созадваемых файлов, так и модуль контроля поведения. Реализация и хитрость алгоритмов как сканирущего модуля, так поведенчнеского это совбственно то, что отличаются решения разных вендоров друг от друга, но по маркетинговым материалам этой разницы не прочувствуешь. Но поведенческий модуль точно легче по ресурсам чем сканирующий модуль.
Есть чистые поведенщики, типа CiscoAMP или PaloAlto. CrowdStrike тоже из этой когорты. Я его смотрел в пилоте, очень понравился, на кривой козе его объехать сложно. Что касается KIS, то в силу санкций опыта с ним нет, но по слухам это очень классный продукт. Так что KIS однозанчно в рассмотрение, если позволяет бюджет и нет иных запретов.
Что касается процессов разработки, то обычно процессы IDE и директории где проводятся сборки ставят в исключения для антивируса,что бы не тормозить процесс сборки.
Дампы LSASS для всех, даром, и пусть никто не уйдет обиженный