Un método para exfiltrar silenciosamente los secretos y credenciales de Windows, evadiendo la detección de la mayoría de las soluciones de detección y respuesta de punto final (EDR).
Esta técnica permite a los atacantes que han ganado un punto de apoyo inicial en una máquina de Windows para cosechar credenciales para el movimiento lateral a través de una red sin activar alertas de seguridad comunes.
Cómo Windows administra secretos
La Autoridad de Seguridad Local (LSA), que se ejecuta dentro del proceso LSASS.exe, es el componente principal de Windows responsable de administrar información confidencial. El LSA utiliza dos bases de datos en memoria que corresponden a colmenas de registro en disco:
Base de datos SAM: administra objetos de usuario, grupo y alias y corresponde a la colmena del registro SAM. Almacena las credenciales de los usuarios, pero no hay una API directa para recuperarlas en texto sin formato. Base de datos de seguridad: administra política, dominio de confianza, cuentas y objetos secretos, correspondientes a la colmena del registro de seguridad. Esta base de datos contiene secretos de LSA, como credenciales de dominio en caché y claves de la máquina.
Si bien estas bases de datos se pueden administrar a través de interfaces RPC (MS-SAMR y MS-LSAD), no ofrecen una forma simple de descifrar secretos almacenados. Para acceder a las credenciales y secretos, es necesaria la interacción directa con las colmenas SAM y el registro de seguridad.
Estas colmenas están protegidas por listas de control de acceso discrecional (DACL) que restringen el acceso a cuentas con privilegios del sistema. Los datos confidenciales dentro de ellos, como las credenciales de usuario y las claves de la máquina, están encriptados.
La descifrar esta información requiere valores adicionales de la colmena del sistema para reconstruir la clave de descifrado.
Los atacantes comúnmente usan varias técnicas locales y remotas para cosechar credenciales, pero las herramientas de seguridad modernas detectan los métodos más conocidos.
Interactuar con la memoria de proceso LSASS.exe, por ejemplo, es una actividad de alto riesgo que es muy monitoreada por EDRS y Windows Defender, lo que a menudo resulta en alertas inmediatas.
Las soluciones EDR dependen principalmente de las rutinas de devolución de llamada en modo núcleo para monitorear la actividad del sistema. Mediante el uso de funciones como CMRegisterCallBackEx, el controlador de un EDR puede registrarse para ser notificado por el núcleo de Windows de eventos específicos, como el acceso al registro.
Cuando un proceso intenta leer una clave sensible, como HKLM \ SAM o HKLM \ Security, el núcleo notifica el EDR, que luego puede bloquear la operación o elevar una alerta. Para administrar el rendimiento, los EDR generalmente monitorean una lista selecta de llamadas de API de alto riesgo y rutas de registro, en lugar de cada operación del sistema.
Un nuevo método para la exfiltración silenciosa
Según el investigador Sud0Ru, quien descubrió esta técnica, un nuevo enfoque de dos puntas permite a los atacantes evitar estas defensas aprovechando las partes internas de Windows menos conocidas.
Este método evita la creación de copias de seguridad en el disco de las colmenas de registro y no requiere privilegios a nivel del sistema, operando dentro del contexto de un administrador local.
Exfiltración de datos secretos (Fuente: Sud0RU) Ejecutando controles de acceso con NTOPENKEYEX: el primer paso implica el uso de la API nativa indocumentada NTOPENKEYEX. Al llamar a esta función con el indicador reg_option_backup_restore y habilitar el SebackupPrivilege (disponible para los administradores), un atacante puede evitar las verificaciones de ACL estándar en las claves de registro protegidas. Esto proporciona acceso de lectura directa a las colmenas SAM y Security sin necesidad de ser el usuario del sistema. Evadiendo la detección con regqueryMultiplevaluesw: una vez que se obtiene el acceso, el siguiente desafío es leer los datos sin activar alertas EDR. La mayoría de los EDRS monitorean las llamadas de API comunes utilizadas para los valores de registro de lectura, como RegQueryValueExw. En su lugar, esta nueva técnica utiliza RegQueryMultiplevaluesw, una API que recupera datos para una lista de nombres de valor asociados con una clave de registro. Debido a que esta función se usa con menos frecuencia, muchos proveedores de EDR no la han incluido en sus reglas de monitoreo. Al usar esta API para leer un solo valor a la vez, los atacantes pueden extraer los secretos cifrados del SAM y las colmenas de seguridad sin ser detectados.
Esta estrategia combinada permite que toda la operación ocurra en la memoria, sin dejar artefactos en disco y evitando las llamadas de API que normalmente marcarían la actividad maliciosa.
El resultado es un método silencioso y efectivo para la cosecha de credenciales. Si bien descifrar los datos exfiltrados es un proceso separado, esta técnica de recopilación demuestra que incluso los sistemas defensivos maduros pueden evitarse al aprovechar las funcionalidades legítimas y legítimas dentro del mismo sistema operativo.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}