Limitare il DUMP del file LSASS (HIPS)

Vediamo una serie di regole HIPS aggiuntive per limitare azioni malevoli che normalmente non vengono rilevate dalla suite di sicurezza.
Le regole si applicano a tutte le versioni di ESET Endpoint Security con HIPS attivo, queste regole sono inutili se si utilizza un sistema EDR (come ESET Enterprise Inspector) opportunamente configurato.

Il file LSASS contiene al suo interno le password cifrate dell’intero sistema e le password di dominio utilizzate sul sistema anche una sola volta. Effettuare una copia, in gergo un DUMP, del file non viene vista come un’azione malevola da nessun sistema di sicurezza classico, ma solamente dai sistemi EDR (come ESET Enterprise Inspector). Una volta ottenuta la copia del file l’hacker cerca di decifrare il file e recuperare le password degli Account e di conseguenza del dominio. Una normale applicazione che crea un dump e lo invia ad un server remoto non viene vista come malevola.

Questo tipo di attacco viene usato da quasi tutti i gruppi Ransomware in circolazione (Conti, Hive ecc.)

Ci sono due operazioni da mettere in pratica per limitare il DUMP:

• Limitare il DUMP del file LSASS dal registro di Windows
• Impostare ESET HIPS per monitorare la chiave di registro ed impedire che venga modificata
• Bloccare la possibilità di modificare le regole HIPS senza una password di ovveride

Limitare il DUMP del file LSASS

Tramite Registro di Windows

• Apriamo il registro di sistema aprendo regedit.exe (tasto win + R e scriviamo regedit.exe)
• Qui a sinistra troviamo -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
• Qui dentro troveremo una chiave RunAsPPL, se non la troviamo la creiamo (Valore DWORD32)
• Alla chiave RunAsPPL diamo il valore Esagesimale 1
• Riavviamo il Computer
  Al riavvio il PC sarà protetto dal DUMP del file LSASS

Tramite Console Protect

• Creiamo una nuova attività Client
• Diamo un nome, un tag ed una descrizione alla nostra attività
• Come Categoria attività scegliamo “Sistema Operativo” e come Attività scegliamo “Esegui comando” e facciamo CONTINUA in basso
• Ora in “Riga di comando da eseguire scriviamo:
  reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL /t REG_DWORD /d 00000001 /f
• Clicchiamo CONTINUA e poi FINE
• Ora ci chiedere se vogliamo creare l’attivazione per farlo partire, clicchiamo “CREA ATTIVAZIONE” diamo una descrizione e facciamo CONTINUA
• Scegliamo i Computer a cui vogliamo applicare la patch e facciamo CONTINUA
• In Tipo di attivazione decidiamo quando vogliamo applicare la patch

SUGGERIMENTO: Se vogliamo applicare la patch a tutti i Computer che inseriremo anche in futuro quando scegliamo i Computer in Destinazione selezioniamo la voce “Tutti” e selezioniamo Computer Windows (il gruppo dinamico) ora in Tipo di attivazione selezioniamo “Appena possibile” e come data di scadenza diamo la scadenza più lontana possibile. In questo modo tutti i Computer in console e tutti i Computer che aggiungeremo prima di quella data riceveranno la patch non appena installeremo l’agent ESET.

Impostare ESET HIPS per monitorare la chiave di registro ed impedire che venga modificata

Nei Computer con UEFI e SecureBoot attivo la chiave salva una stringa nel BIOS per abilitare questa protezione, quindi anche modificando la chiave di registro bisogna intervenire sul BIOS per disattivarla. Ci sono però applicazioni (di cui una proprio rilasciata da Microsoft) che permettono di modificare la chiave nel BIOS. Windows sblocca il processo solamente quando le chiavi sono disattivate nel BIOS e nel registro di Windows contemporaneamente. Per questo andiamo a creare una regola HIPS che impedisce a chiunque di modificare la chiave ed impostiamo un Alert (solo da console) quando qualcuno, programma o persona, prova a modificare la chiave di registro.

Direttamente da ESET Endpoint Security

Possiamo impostare la regola direttamente dal nostro Endpoint Security, per farlo

• apriamo ESET Endpoint Security
• apriamo il Menù Configurazione -> Computer
• Clicchiamo l’ingranaggio vicino Host Intrusion Prevention System (HIPS)
• Controlliamo che tutte le opzioni della configurazione Standard siano attive e vicino la voce Regole clicchiamo Modifica
• Ora facciamo Aggiungi
• Diamo un nome alla nostra regola, come Azione scegliamo Blocca e sotto “Operazioni che Influiscono” scegliamo “Voci di registro”, attiviamo la regola scegliamo come livello di registrazione “Avviso” e decidiamo se notificare o meno l’utente al momento davanti al Computer (quest’ultima opzione a vostra discrezione). Clicchiamo “Avanti”
• Qui in Applicazioni di origine selezioniamo “Tutte le applicazioni” e facciamo “Avanti”
• Ci chiederà per quali operazioni di registro varrà la regola e noi impostiamo “Tutte le operazioni del registro di sistema”
• Ora in Voci di registro selezioniamo “Voci specifiche” e facciamo “Aggiungi”
• Ora in Chiave scriviamo:
  HKEY_LOCAL_MACHINE\SYSTEM*\Control\Lsa\RunAsPPL
• Diamo “Ok” e poi “Fine”

Ora che abbiamo finito la modifica possiamo riaprire il registro di sistema e provare a modificare la chiave di registro, il sistema darà una finestra di errore dicendoci che è impossibile modificare la chiave di registro.

Tramite Console Protect

Andiamo a sinistra sui “Criteri” e modifichiamo il criterio che utilizziamo per i Computer in cui vogliamo impostare il controllo.
Se non sai cosa sono e come funzionano i criteri segui la guida sull’utilizzo dei Criteri qui.

• Nelle Impostazioni del Criterio facciamo MOTORE DI RILEVAMENTO -> HIPS
• Controlliamo che le regole della sezione STANDARD siano tutte attive ed impostiamo il blocco sul client per tutte le regole STANDARD così da impedire la modifica delle regole sui Client
• In Regole, sul fondo della sezione STANDARD clicchiamo Modifica
• Ora facciamo Aggiungi
• Diamo un nome alla nostra regola, come Azione scegliamo Blocca e sotto “Operazioni che Influiscono” scegliamo “Voci di registro”, attiviamo la regola scegliamo come livello di registrazione “Avviso” e decidiamo se notificare o meno l’utente al momento davanti al Computer (quest’ultima opzione a vostra discrezione). Clicchiamo “Avanti”
• Qui in Applicazioni di origine selezioniamo “Tutte le applicazioni” e facciamo “Avanti”
• Ci chiederà per quali operazioni di registro varrà la regola e noi impostiamo “Tutte le operazioni del registro di sistema”
• Ora in Voci di registro selezioniamo “Voci specifiche” e facciamo “Aggiungi”
• Ora in Chiave scriviamo:
  HKEY_LOCAL_MACHINE\SYSTEM*\Control\Lsa\RunAsPPL
• Diamo “Ok” e poi “Fine”
• Diamo di nuovo OK e poi FINE per confermare le modifiche al criterio

Adesso tempo qualche secondo che tutti i Client prendono la regola e sarà già attiva.

RACCOMANDATO: Imposta sempre una Password di Override tramite i criteri della console Protect per evitare che le regole vengano disattivate sul Client senza il tuo permesso, se non sai come farlo segui il link.

Creiamo un Alert E-Mail per le regole HIPS sulla Console Protect

Possiamo tramite la nostra Console creare un alert apposito per il motore HIPS.

• Nella nostra console apriamo Notifiche sulla sinistra e clicchiamo “NUOVA NOTIFICA…” in basso
• Diamo un nome alla nostra notifica es. “Rilevamento HIPS”, attiviamola e facciamo CONTINUA
• “Evento” lasciamo “Eventi sui Computer”, in “Categoria” scegliamo HIPS, in Gruppo Statico Monitorato scegliamo i gruppi che vogliamo monitorare.
• In Impostazioni “Operatore” e “Filtra per” ci permettono di scegliere solo alcune regole per cui essere notificati, se vogliamo essere notificati per tutte le regole HIPS lasciamo le impostazioni predefinite. Scopri di più sulle regole delle notifiche al link
• In contenuto predefinito del messaggio un’anteprima del messaggio che riceveremo e facciamo “CONTINUA”
• Tralasciamo le impostazioni Avanzate e facciamo “CONTINUA”
• Ora in Distribuzione possiamo seleziona Invia e-mail e scrivere i destinatari della nostra mail
• Possiamo modificare la mail che verrà ricevuta e scegliere lingua e fuso orario
• Clicchiamo FINE

Adesso ogni volta che HIPS riscontrerà un’anomalia ci verrà segnalata tramite Alert

Link al template dei criteri su GitHub