Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Boot or Logon Autostart Execution: Authentication Package

Other sub-techniques of Boot or Logon Autostart Execution (15)

ID	Name
.001	Registry Run Keys / Startup Folder
.002	Authentication Package
.003	Time Providers
.004	Winlogon Helper DLL
.005	Security Support Provider
.006	Kernel Modules and Extensions
.007	Re-opened Applications
.008	LSASS Driver
.009	Shortcut Modification
.010	Port Monitors
.011	Plist Modification
.012	Print Processors
.013	XDG Autostart Entries
.014	Active Setup
.015	Login Items

Adversaries may abuse authentication packages to execute DLLs when the system boots. Windows authentication package DLLs are loaded by the Local Security Authority (LSA) process at system start. They provide support for multiple logon processes and multiple security protocols to the operating system.(Citation: MSDN Authentication Packages) Adversaries can use the autostart mechanism provided by LSA authentication packages for persistence by placing a reference to a binary in the Windows Registry location HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ with the key value of "Authentication Packages"=<target binary>. The binary will then be executed by the system when the authentication packages are loaded.

ID: T1547.002

Sub-technique of: T1547

Tactic(s): Persistence, Privilege Escalation

Platforms: Windows

Permissions Required: Administrator

Data Sources: Command: Command Execution, Module: Module Load, Windows Registry: Windows Registry Key Modification

Version: 1.0

Created: 24 Jan 2020

Last Modified: 20 Apr 2022

Name	Description
Procedure Examples
Flame	Flame can use Windows Authentication Packages for persistence.(Citation: Crysys Skywiper)

Mitigation	Description
Mitigations
Privileged Process Integrity	Protect processes with high privileges that can be used to interact with critical system components through use of protected process light, anti-process injection defenses, or other process integrity enforcement measures.

Detection

Monitor the Registry for changes to the LSA Registry keys. Monitor the LSA process for DLL loads. Windows 8.1 and Windows Server 2012 R2 may generate events when unsigned DLLs try to load into the LSA by setting the Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe with AuditLevel = 8. (Citation: Graeber 2014) (Citation: Microsoft Configure LSA)

References

Связанные риски

Риск	Связи
Закрепление злоумышленника в ОС из-за подмены библиотек пакетов аутентификации в Local Security Authority в ОС Windows Повышение привилегий НСД

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.