[English] یک تراشه ایمنی کوتاه تا صبح. محققان امنیتی رویکردی را برای دور زدن و دور زدن از محافظت و تشخیص حملات در مقابل سرقت اعتبارات ایجاد کرده اند.
ATP مایکروسافت Defender سنسورهای پیشرفته تشخیص نقض امنیت را فراهم می کند (به اینجا نیز مراجعه کنید). Windows Defender Credential Guard همچنین ویژگیهای امنیتی مبتنی بر مجازی سازی را در ویندوز 10 فراهم می کند. سعی کنید اعتبار Mimikatz و شرکت را بخوانید. بنابراین ، باید به عنوان یک تهدید شناسایی و گزارش شود.
تشخیص شخصیت سرقت ATP مدافع
من فقط توییت زیر را پیدا کردم که به این موضوع می پردازد. برای دور زدن دفاع دفاعی Microsoft Defender ATP برای شناسایی و هشدار نسبت به سرقت اعتبار.
اجتناب از سرقت اعتبار WinDefender ATP:
tl؛ دکتر PssCaptureSnapshot کلونهای sycall حافظه پردازش را از روند اصلی می خوانند و از تشخیص خواندن LSASS جلوگیری می کنند. https://t.co/Z4pc45xrqU– scriptjunkie (@ scriptjunkie1) 2 دسامبر 2019
در این مقاله نحوه سرقت مدارک معتبر به شما نشان داده می شود. نظارت بر Sysmon LSASS پیشنهاد شده است و در صورت اقدام به سرقت مدارک معتبر ، هر شناسه 10 را چک کنید. اگر به موضوع علاقه دارید ، جزئیات مربوط به آن را در مقاله مشاهده خواهید کرد. در حال حاضر ، من نمی توانم ارزیابی کنم که این کل موضوع چقدر عملی است.
وضعیت کنونی این است که آسیب پذیری در تاریخ 1/11/2019 در گزارش شده است مرکز امنیت پاسخ مایکروسافت MSRC. MSRC در 12 نوامبر 2019 اعلام کرد که کل بخشی از برنامه جایزه برای خطاها نیست و می خواست کل آنالیز و سپس گزارش را به محققان امنیتی ارائه دهد. علیرغم دو یادآوری که این اتفاق نیفتاد ، کاشفان آسیب پذیری این مسئله را پس از پایان سکوت اختصاص یافته 30 روزه در تاریخ 2 دسامبر 2019 منقضی شدند.