{"id":348,"date":"2022-03-19T17:28:20","date_gmt":"2022-03-19T16:28:20","guid":{"rendered":"https:\/\/supporto.clanto.it\/?post_type=kb&#038;p=348"},"modified":"2022-03-19T17:34:43","modified_gmt":"2022-03-19T16:34:43","slug":"limitare-il-dump-del-file-lsass-hips","status":"publish","type":"kb","link":"http:\/\/supporto.clanto.it\/kb\/limitare-il-dump-del-file-lsass-hips\/","title":{"rendered":"Limitare il DUMP del file LSASS (HIPS)"},"content":{"rendered":"\n<p>Vediamo una serie di regole HIPS aggiuntive per limitare azioni malevoli che normalmente non vengono rilevate dalla suite di sicurezza.<br>Le regole si applicano a tutte le versioni di ESET Endpoint Security con HIPS attivo, queste regole sono inutili se si utilizza un sistema EDR (come ESET Enterprise Inspector) opportunamente configurato.<\/p>\n\n\n\n<p>Il file LSASS contiene al suo interno le password cifrate dell&#8217;intero sistema e le password di dominio utilizzate sul sistema anche una sola volta. Effettuare una copia, in gergo un DUMP, del file non viene vista come un&#8217;azione malevola da nessun sistema di sicurezza classico, ma solamente dai sistemi EDR (come ESET Enterprise Inspector). Una volta ottenuta la copia del file l&#8217;hacker cerca di decifrare il file e recuperare le password degli Account e di conseguenza del dominio. Una normale applicazione che crea un dump e lo invia ad un server remoto non viene vista come malevola.<\/p>\n\n\n\n<p>Questo tipo di attacco viene usato da quasi tutti i gruppi Ransomware in circolazione (Conti, Hive ecc.)<\/p>\n\n\n\n<p>Ci sono due operazioni da mettere in pratica per limitare il DUMP:<\/p>\n\n\n\n<ul><li>Limitare il DUMP del file LSASS dal registro di Windows<\/li><li>Impostare ESET HIPS per monitorare la chiave di registro ed impedire che venga modificata<\/li><li>Bloccare la possibilit\u00e0 di modificare le regole HIPS senza una password di ovveride<\/li><\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Limitare il DUMP del file LSASS<\/h3>\n\n\n\n<h4 class=\"wp-block-heading\">Tramite Registro di Windows<\/h4>\n\n\n\n<ul><li>Apriamo il registro di sistema aprendo regedit.exe (tasto win + R e scriviamo regedit.exe)<\/li><li>Qui a sinistra troviamo -&gt; HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa<\/li><li>Qui dentro troveremo una chiave RunAsPPL, se non la troviamo la creiamo (Valore DWORD32)<\/li><li>Alla chiave RunAsPPL diamo il valore Esagesimale 1<\/li><li>Riavviamo il Computer<br>Al riavvio il PC sar\u00e0 protetto dal DUMP del file LSASS<\/li><\/ul>\n\n\n\n<h4 class=\"wp-block-heading\">Tramite Console Protect<\/h4>\n\n\n\n<ul><li>Creiamo una nuova attivit\u00e0 Client<\/li><li>Diamo un nome, un tag ed una descrizione alla nostra attivit\u00e0<\/li><li>Come Categoria attivit\u00e0 scegliamo &#8220;Sistema Operativo&#8221; e come Attivit\u00e0 scegliamo &#8220;Esegui comando&#8221; e facciamo CONTINUA in basso<\/li><li>Ora in &#8220;Riga di comando da eseguire scriviamo:<br>reg add HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa \/v RunAsPPL \/t REG_DWORD \/d 00000001 \/f<\/li><li>Clicchiamo CONTINUA e poi FINE<\/li><li>Ora ci chiedere se vogliamo creare l&#8217;attivazione per farlo partire, clicchiamo &#8220;CREA ATTIVAZIONE&#8221; diamo una descrizione e facciamo CONTINUA<\/li><li>Scegliamo i Computer a cui vogliamo applicare la patch e facciamo CONTINUA<\/li><li>In Tipo di attivazione decidiamo quando vogliamo applicare la patch<\/li><\/ul>\n\n\n\n<p><mark style=\"background-color:#fbebbd\" class=\"has-inline-color\"><strong>SUGGERIMENTO<\/strong>: Se vogliamo applicare la patch a tutti i Computer che inseriremo anche in futuro quando scegliamo i Computer in Destinazione selezioniamo la voce &#8220;Tutti&#8221; e selezioniamo Computer Windows (il gruppo dinamico) ora in Tipo di attivazione selezioniamo &#8220;Appena possibile&#8221; e come data di scadenza diamo la scadenza pi\u00f9 lontana possibile. In questo modo tutti i Computer in console e tutti i Computer che aggiungeremo prima di quella data riceveranno la patch non appena installeremo l&#8217;agent ESET.<\/mark><\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Impostare ESET HIPS per monitorare la chiave di registro ed impedire che venga modificata<\/h3>\n\n\n\n<p>Nei Computer con UEFI e SecureBoot attivo la chiave salva una stringa nel BIOS per abilitare questa protezione, quindi anche modificando la chiave di registro bisogna intervenire sul BIOS per disattivarla. Ci sono per\u00f2 applicazioni (di cui una proprio rilasciata da Microsoft) che permettono di modificare la chiave nel BIOS. Windows sblocca il processo solamente quando le chiavi sono disattivate nel BIOS e nel registro di Windows <strong>contemporaneamente<\/strong>. Per questo andiamo a creare una regola HIPS che impedisce a chiunque di modificare la chiave ed impostiamo un Alert (solo da console) quando qualcuno, programma o persona, prova a modificare la chiave di registro.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Direttamente da ESET Endpoint Security<\/h4>\n\n\n\n<p>Possiamo impostare la regola direttamente dal nostro Endpoint Security, per farlo<\/p>\n\n\n\n<ul><li>apriamo ESET Endpoint Security<\/li><li>apriamo il Men\u00f9 Configurazione -&gt; Computer<\/li><li>Clicchiamo l&#8217;ingranaggio vicino Host Intrusion Prevention System (HIPS)<\/li><li>Controlliamo che tutte le opzioni della configurazione Standard siano attive e vicino la voce Regole clicchiamo Modifica<\/li><li>Ora facciamo Aggiungi<\/li><li>Diamo un nome alla nostra regola, come Azione scegliamo Blocca e sotto &#8220;Operazioni che Influiscono&#8221; scegliamo &#8220;Voci di registro&#8221;, attiviamo la regola scegliamo come livello di registrazione &#8220;Avviso&#8221; e decidiamo se notificare o meno l&#8217;utente al momento davanti al Computer (quest&#8217;ultima opzione a vostra discrezione). Clicchiamo &#8220;Avanti&#8221;<\/li><li>Qui in Applicazioni di origine selezioniamo &#8220;Tutte le applicazioni&#8221; e facciamo &#8220;Avanti&#8221;<\/li><li>Ci chieder\u00e0 per quali operazioni di registro varr\u00e0 la regola e noi impostiamo &#8220;Tutte le operazioni del registro di sistema&#8221;<\/li><li>Ora in Voci di registro selezioniamo &#8220;Voci specifiche&#8221; e facciamo &#8220;Aggiungi&#8221;<\/li><li>Ora in Chiave scriviamo:<br>HKEY_LOCAL_MACHINE\\SYSTEM*\\Control\\Lsa\\RunAsPPL<\/li><li>Diamo &#8220;Ok&#8221; e poi &#8220;Fine&#8221;<\/li><\/ul>\n\n\n\n<p>Ora che abbiamo finito la modifica possiamo riaprire il registro di sistema e provare a modificare la chiave di registro, il sistema dar\u00e0 una finestra di errore dicendoci che \u00e8 impossibile modificare la chiave di registro.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Tramite Console Protect<\/h4>\n\n\n\n<p>Andiamo a sinistra sui &#8220;Criteri&#8221; e modifichiamo il criterio che utilizziamo per i Computer in cui vogliamo impostare il controllo.<br>Se non sai cosa sono e come funzionano i criteri segui la guida sull&#8217;utilizzo dei Criteri qui.<\/p>\n\n\n\n<ul><li>Nelle Impostazioni del Criterio facciamo MOTORE DI RILEVAMENTO -&gt; HIPS<\/li><li>Controlliamo che le regole della sezione STANDARD siano tutte attive ed impostiamo il blocco sul client per tutte le regole STANDARD cos\u00ec da impedire la modifica delle regole sui Client<\/li><li>In Regole, sul fondo della sezione STANDARD clicchiamo Modifica<\/li><li>Ora facciamo Aggiungi<\/li><li>Diamo un nome alla nostra regola, come Azione scegliamo Blocca e sotto &#8220;Operazioni che Influiscono&#8221; scegliamo &#8220;Voci di registro&#8221;, attiviamo la regola scegliamo come livello di registrazione &#8220;Avviso&#8221; e decidiamo se notificare o meno l&#8217;utente al momento davanti al Computer (quest&#8217;ultima opzione a vostra discrezione). Clicchiamo &#8220;Avanti&#8221;<\/li><li>Qui in Applicazioni di origine selezioniamo &#8220;Tutte le applicazioni&#8221; e facciamo &#8220;Avanti&#8221;<\/li><li>Ci chieder\u00e0 per quali operazioni di registro varr\u00e0 la regola e noi impostiamo &#8220;Tutte le operazioni del registro di sistema&#8221;<\/li><li>Ora in Voci di registro selezioniamo &#8220;Voci specifiche&#8221; e facciamo &#8220;Aggiungi&#8221;<\/li><li>Ora in Chiave scriviamo:<br>HKEY_LOCAL_MACHINE\\SYSTEM*\\Control\\Lsa\\RunAsPPL<\/li><li>Diamo &#8220;Ok&#8221; e poi &#8220;Fine&#8221;<\/li><li>Diamo di nuovo OK e poi FINE per confermare le modifiche al criterio<\/li><\/ul>\n\n\n\n<p>Adesso tempo qualche secondo che tutti i Client prendono la regola e sar\u00e0 gi\u00e0 attiva.<\/p>\n\n\n\n<p><mark style=\"background-color:#fac0c0\" class=\"has-inline-color\">RACCOMANDATO: Imposta <strong>sempre<\/strong> una Password di Override tramite i criteri della console Protect per evitare che le regole vengano <strong>disattivate <\/strong>sul Client senza il tuo permesso<\/mark>, se non sai come farlo segui il link.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Creiamo un Alert E-Mail per le regole HIPS sulla Console Protect<\/h4>\n\n\n\n<p>Possiamo tramite la nostra Console creare un alert apposito per il motore HIPS.<\/p>\n\n\n\n<ul><li>Nella nostra console apriamo Notifiche sulla sinistra e clicchiamo &#8220;NUOVA NOTIFICA&#8230;&#8221; in basso<\/li><li>Diamo un nome alla nostra notifica es. &#8220;Rilevamento HIPS&#8221;, attiviamola e facciamo CONTINUA<\/li><li>&#8220;Evento&#8221; lasciamo &#8220;Eventi sui Computer&#8221;, in &#8220;Categoria&#8221; scegliamo HIPS, in Gruppo Statico Monitorato scegliamo i gruppi che vogliamo monitorare.<\/li><li>In Impostazioni &#8220;Operatore&#8221; e &#8220;Filtra per&#8221; ci permettono di scegliere solo alcune regole per cui essere notificati, se vogliamo essere notificati per tutte le regole HIPS lasciamo le impostazioni predefinite. Scopri di pi\u00f9 sulle regole delle notifiche al link<\/li><li>In contenuto predefinito del messaggio un&#8217;anteprima del messaggio che riceveremo e facciamo &#8220;CONTINUA&#8221;<\/li><li>Tralasciamo le impostazioni Avanzate e facciamo &#8220;CONTINUA&#8221;<\/li><li>Ora in Distribuzione possiamo seleziona Invia e-mail e scrivere i destinatari della nostra mail<\/li><li>Possiamo modificare la mail che verr\u00e0 ricevuta e scegliere lingua e fuso orario<\/li><li>Clicchiamo FINE<\/li><\/ul>\n\n\n\n<p>Adesso ogni volta che HIPS riscontrer\u00e0 un&#8217;anomalia ci verr\u00e0 segnalata tramite Alert<\/p>\n\n\n\n<p>Link al template dei criteri su GitHub<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vediamo una serie di regole HIPS aggiuntive per limitare azioni malevoli che normalmente non vengono rilevate dalla suite di sicurezza.Le regole si applicano a tutte le versioni di ESET Endpoint Security con HIPS attivo, queste regole sono inutili se si utilizza un sistema EDR (come ESET Enterprise Inspector) opportunamente configurato. Il file LSASS contiene al [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","template":"","meta":{"footnotes":""},"kbtopic":[11,13],"kbtag":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v22.7 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Limitare il DUMP del file LSASS (HIPS) - Supporto<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/supporto.clanto.it\/kb\/limitare-il-dump-del-file-lsass-hips\/\" \/>\n<meta property=\"og:locale\" content=\"it_IT\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Limitare il DUMP del file LSASS (HIPS) - Supporto\" \/>\n<meta property=\"og:description\" content=\"Vediamo una serie di regole HIPS aggiuntive per limitare azioni malevoli che normalmente non vengono rilevate dalla suite di sicurezza.Le regole si applicano a tutte le versioni di ESET Endpoint Security con HIPS attivo, queste regole sono inutili se si utilizza un sistema EDR (come ESET Enterprise Inspector) opportunamente configurato. Il file LSASS contiene al [&hellip;]\" \/>\n<meta property=\"og:url\" content=\"http:\/\/supporto.clanto.it\/kb\/limitare-il-dump-del-file-lsass-hips\/\" \/>\n<meta property=\"og:site_name\" content=\"Supporto\" \/>\n<meta property=\"article:modified_time\" content=\"2022-03-19T16:34:43+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Tempo di lettura stimato\" \/>\n\t<meta name=\"twitter:data1\" content=\"7 minuti\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/supporto.clanto.it\/kb\/limitare-il-dump-del-file-lsass-hips\/\",\"url\":\"http:\/\/supporto.clanto.it\/kb\/limitare-il-dump-del-file-lsass-hips\/\",\"name\":\"Limitare il DUMP del file LSASS (HIPS) - Supporto\",\"isPartOf\":{\"@id\":\"http:\/\/supporto.clanto.it\/#website\"},\"datePublished\":\"2022-03-19T16:28:20+00:00\",\"dateModified\":\"2022-03-19T16:34:43+00:00\",\"breadcrumb\":{\"@id\":\"http:\/\/supporto.clanto.it\/kb\/limitare-il-dump-del-file-lsass-hips\/#breadcrumb\"},\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/supporto.clanto.it\/kb\/limitare-il-dump-del-file-lsass-hips\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/supporto.clanto.it\/kb\/limitare-il-dump-del-file-lsass-hips\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"http:\/\/supporto.clanto.it\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"KB Articles\",\"item\":\"https:\/\/supporto.clanto.it\/kb\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Limitare il DUMP del file LSASS (HIPS)\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/supporto.clanto.it\/#website\",\"url\":\"http:\/\/supporto.clanto.it\/\",\"name\":\"Supporto\",\"description\":\"\",\"publisher\":{\"@id\":\"http:\/\/supporto.clanto.it\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/supporto.clanto.it\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"it-IT\"},{\"@type\":\"Organization\",\"@id\":\"http:\/\/supporto.clanto.it\/#organization\",\"name\":\"Supporto\",\"url\":\"http:\/\/supporto.clanto.it\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"http:\/\/supporto.clanto.it\/#\/schema\/logo\/image\/\",\"url\":\"http:\/\/supporto.clanto.it\/wp-content\/uploads\/sites\/2\/2022\/01\/cropped-logo-clanto-supporto.png\",\"contentUrl\":\"http:\/\/supporto.clanto.it\/wp-content\/uploads\/sites\/2\/2022\/01\/cropped-logo-clanto-supporto.png\",\"width\":400,\"height\":64,\"caption\":\"Supporto\"},\"image\":{\"@id\":\"http:\/\/supporto.clanto.it\/#\/schema\/logo\/image\/\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Limitare il DUMP del file LSASS (HIPS) - Supporto","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/supporto.clanto.it\/kb\/limitare-il-dump-del-file-lsass-hips\/","og_locale":"it_IT","og_type":"article","og_title":"Limitare il DUMP del file LSASS (HIPS) - Supporto","og_description":"Vediamo una serie di regole HIPS aggiuntive per limitare azioni malevoli che normalmente non vengono rilevate dalla suite di sicurezza.Le regole si applicano a tutte le versioni di ESET Endpoint Security con HIPS attivo, queste regole sono inutili se si utilizza un sistema EDR (come ESET Enterprise Inspector) opportunamente configurato. Il file LSASS contiene al [&hellip;]","og_url":"http:\/\/supporto.clanto.it\/kb\/limitare-il-dump-del-file-lsass-hips\/","og_site_name":"Supporto","article_modified_time":"2022-03-19T16:34:43+00:00","twitter_card":"summary_large_image","twitter_misc":{"Tempo di lettura stimato":"7 minuti"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/supporto.clanto.it\/kb\/limitare-il-dump-del-file-lsass-hips\/","url":"http:\/\/supporto.clanto.it\/kb\/limitare-il-dump-del-file-lsass-hips\/","name":"Limitare il DUMP del file LSASS (HIPS) - Supporto","isPartOf":{"@id":"http:\/\/supporto.clanto.it\/#website"},"datePublished":"2022-03-19T16:28:20+00:00","dateModified":"2022-03-19T16:34:43+00:00","breadcrumb":{"@id":"http:\/\/supporto.clanto.it\/kb\/limitare-il-dump-del-file-lsass-hips\/#breadcrumb"},"inLanguage":"it-IT","potentialAction":[{"@type":"ReadAction","target":["http:\/\/supporto.clanto.it\/kb\/limitare-il-dump-del-file-lsass-hips\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/supporto.clanto.it\/kb\/limitare-il-dump-del-file-lsass-hips\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"http:\/\/supporto.clanto.it\/"},{"@type":"ListItem","position":2,"name":"KB Articles","item":"https:\/\/supporto.clanto.it\/kb\/"},{"@type":"ListItem","position":3,"name":"Limitare il DUMP del file LSASS (HIPS)"}]},{"@type":"WebSite","@id":"http:\/\/supporto.clanto.it\/#website","url":"http:\/\/supporto.clanto.it\/","name":"Supporto","description":"","publisher":{"@id":"http:\/\/supporto.clanto.it\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/supporto.clanto.it\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"it-IT"},{"@type":"Organization","@id":"http:\/\/supporto.clanto.it\/#organization","name":"Supporto","url":"http:\/\/supporto.clanto.it\/","logo":{"@type":"ImageObject","inLanguage":"it-IT","@id":"http:\/\/supporto.clanto.it\/#\/schema\/logo\/image\/","url":"http:\/\/supporto.clanto.it\/wp-content\/uploads\/sites\/2\/2022\/01\/cropped-logo-clanto-supporto.png","contentUrl":"http:\/\/supporto.clanto.it\/wp-content\/uploads\/sites\/2\/2022\/01\/cropped-logo-clanto-supporto.png","width":400,"height":64,"caption":"Supporto"},"image":{"@id":"http:\/\/supporto.clanto.it\/#\/schema\/logo\/image\/"}}]}},"_links":{"self":[{"href":"http:\/\/supporto.clanto.it\/wp-json\/wp\/v2\/kb\/348"}],"collection":[{"href":"http:\/\/supporto.clanto.it\/wp-json\/wp\/v2\/kb"}],"about":[{"href":"http:\/\/supporto.clanto.it\/wp-json\/wp\/v2\/types\/kb"}],"author":[{"embeddable":true,"href":"http:\/\/supporto.clanto.it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/supporto.clanto.it\/wp-json\/wp\/v2\/comments?post=348"}],"version-history":[{"count":7,"href":"http:\/\/supporto.clanto.it\/wp-json\/wp\/v2\/kb\/348\/revisions"}],"predecessor-version":[{"id":356,"href":"http:\/\/supporto.clanto.it\/wp-json\/wp\/v2\/kb\/348\/revisions\/356"}],"wp:attachment":[{"href":"http:\/\/supporto.clanto.it\/wp-json\/wp\/v2\/media?parent=348"}],"wp:term":[{"taxonomy":"kbtopic","embeddable":true,"href":"http:\/\/supporto.clanto.it\/wp-json\/wp\/v2\/kbtopic?post=348"},{"taxonomy":"kbtag","embeddable":true,"href":"http:\/\/supporto.clanto.it\/wp-json\/wp\/v2\/kbtag?post=348"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}