DLL فیلتر رمز عبور
Password Filter DLLتوضیحات
مهاجمان DLLهای فیلتر رمز عبور مخرب را در ویندوز ثبت میکنند تا رمزهای عبور را در هنگام تغییر capture کنند. Password Filter DLLها برای اعمال سیاستهای رمز عبور طراحی شدهاند اما میتوانند برای سرقت اعتبارنامه استفاده شوند.
روشهای شناسایی
نظارت بر DLLهای ثبت شده به عنوان Password Filter. بررسی رجیستری برای Password Filterهای غیرعادی. شناسایی DLLهای مشکوک در مسیرهای سیستمی. تحلیل رفتار LSASS.
روشهای مقابله
نظارت بر Password Filter DLLها. محدود کردن دسترسی به ثبت Password Filter. استفاده از Windows Defender Credential Guard. بررسی منظم DLLهای ثبت شده. پیادهسازی حداقل سطح دسترسی.
تکنیک اصلی
تغییر فرآیند احراز هویت
مهاجمان مکانیزمهای احراز هویت را تغییر میدهند تا به اعتبارنامهها دسترسی داشته باشند یا احراز هویت را دور بزنند. این تکنیک میتواند برای ایجاد backdoor در فرآیند احراز هویت، capture کردن اعتبارنامهها یا دور زدن MFA استفاده شود.