Egy kiberbiztonsági kutató nemrégiben új és rendkívül kifinomult technikát mutatott be, amely lehetővé teszi a Windows hitelesítő adatok kinyerését, mindezt úgy, hogy a jelenleg elterjedt Endpoint Detection and Response (EDR) megoldások túlnyomó többsége nem képes azonosítani a műveletet. A módszert „Silent Harvest” névre keresztelték, amely kihasználja a Windows kevésbé ismert API funkcióit, hogy hozzáférjen érzékeny rendszerleíró (registry) adatokhoz anélkül, hogy riasztást váltana ki. Ez az áttörés komoly biztonsági hiányosságokra is rávilágít, a legtöbb védelmi eszköz ugyanis nem, vagy csak részben képes felügyelni bizonyos rendszerszintű műveleteket.
A hagyományos hitelesítő adatgyűjtés korlátai
A Windows rendszerekből történő hitelesítő adatok kinyerése korábban ismert technikái – mint például a registry hive-ok másolása, a távoli registry szolgáltatás engedélyezése vagy az LSASS (Local Security Authority Subsystem Service) közvetlen manipulálása – egyre kevésbé hatékonyak. Az új generációs EDR rendszerek ugyanis ezekre a módszerekre célzott figyelést alkalmaznak.
A Windows rendszerben a hitelesítő adatok három fő komponenshez kapcsolódnak:
- SAM (Security Account Manager) adatbázis: A helyi felhasználók és csoportok adatait tárolja titkosított formában.
- Security Policy Database: Itt találhatók a cache-elt tartományi hitelesítő adatok, kulcsok és LSA titkok.
- Registry Hive-ok: A SAM és SECURITY adatbázisokat a rendszer registry-n keresztül is eléri (HKLM\SAM és HKLM\SECURITY kulcsok).
A közvetlen hozzáféréshez azonban SYSTEM jogosultság szükséges és a hozzáférés során jelentős mennyiségű forenzikus nyom keletkezik (pl. fájlrendszer-műveletek, logok, audit események).
Az EDR rendszerek működése és korlátai
A korszerű EDR megoldások kernel módú visszahívási (callback) mechanizmusokat használnak a rendszerkritikus események – például registry műveletek – megfigyelésére. Ezek a rendszerek például a CmRegisterCallbackEx függvény segítségével regisztrálnak callback-eket a Windows kernelben, hogy értesítést kapjanak minden egyes registry műveletről.
Ez lehetővé teszi számukra, hogy:
- Az adott registry-kulcs vagy érték neve azonosításra kerüljön,
- rögzítsék a művelet típusát (olvasás, írás, törlés stb.),
- monitorozzák a kritikus helyek (pl. HKLM\SAM) elleni hozzáférési kísérleteket.
Ugyanakkor, a rendszer teljesítményének megőrzése érdekében ezek a megoldások nem figyelik a rendszer összes registry műveletét, csak a legfontosabbakat.
A módszer előnyei és hatékonysága
Laboratóriumi tesztek alapján a „Silent Harvest” módszerrel végzett hozzáférések nem váltottak ki biztonsági riasztást különféle vezető EDR rendszereken.
A módszer:
- teljes egészében memóriában történik,
- nem hoz létre fájlokat vagy registry mentéseket,
- nem használ tipikus, monitorozott API hívásokat,
- nem hagy forenzikus nyomot, amelyet a védelem automatikusan észlelne.
Következtetések és biztonsági tanulságok
A „Silent Harvest” technika bemutatása jól illusztrálja a védelem és támadás közötti folyamatos evolúciós versenyt. Míg a biztonsági megoldások egyre fejlettebbek, a kutatók és támadók folyamatosan keresik azokat a rendszerfunkciókat, amelyeket a védelem nem vesz figyelembe.
Ez a kutatás világosan rávilágít arra, hogy:
- az EDR szabályrendszerek nem fedik le az összes API-t, még a rendszerkritikus műveletek esetében sem;
- a jogosultság-alapú hozzáférés nem elegendő védelem, ha a rendszeresemények monitorozása hiányos;
- új és ritkán dokumentált Windows funkciók (mint a RegQueryMultipleValuesW) rejtett kockázatokat hordozhatnak.
Javaslatok a védekezési tanácsok
A „Silent Harvest” elleni védekezéshez a következő lépések javasoltak:
- EDR szabályrendszerek bővítése a ritkábban használt, de potenciálisan veszélyes API-k figyelésére.
- Privilege auditálás: Monitorozni kell a SeBackupPrivilege és SeRestorePrivilege jogosultságot használó folyamatokat.
- Anomáliaalapú detekció alkalmazása, amely figyeli az atipikus registry hozzáféréseket még akkor is, ha nem jól ismert API-kon keresztül történnek.
- Memory forensics és RAM-alapú detekciós technikák bevezetése a klasszikus fájl- és folyamatmonitorozáson túl.
A „Silent Harvest” egy újabb példa arra, hogyan tudják a támadók kihasználni a védelem vakfoltjait. Ahogy a biztonsági környezet egyre összetettebbé válik, úgy válik elengedhetetlenné a proaktív kutatás, a rendszeres EDR frissítés és a mélyebb rendszerismeret az informatikai védelemben dolgozó szakemberek számára.