Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

После получения доступа к операционной системе злоумышленник может закрепиться в ней и продолжить получать доступ к системе вне зависимости от прерываний доступа.

Описание уязвимости

Злоумышленники могут подменять библиотеки пакетов аутентификации на произвольные библиотеки. Библиотеки DLL пакета проверки подлинности Windows загружаются процессом Local Security Authority (LSA) при запуске системы. 
Злоумышленники могут использовать механизм автозапуска, предоставляемый пакетами аутентификации LSA для закрепления в инфраструктуре, поместив ссылку на двоичный файл в расположение реестра Windows: 
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ 
со значением ключа "Пакеты аутентификации"=<целевой двоичный файл>. 

Описание типа актива

Microsoft Windows любых версий
Объекты атаки Операционная система
Классификация
STRIDE: Повышение привилегий ? Повышение привилегий / Elevation of privilege Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений де...
Иное: НСД ? Несанкционированный доступ / Unauthorized access Доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа инф...
Источники угрозы
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

Техники ATT@CK:
T1547.002 Boot or Logon Autostart Execution: Authentication Package
Adversaries may abuse authentication packages to execute DLLs when the system boots. Windows authentication package DLLs are loa...

Связанные защитные меры

Ничего не найдено