Безопасность информационных технологий

Работа посвящена одному из ключевых вопросов безопасности современных операционных систем Windows и Linux – анализу защищённости парольной информации пользователей. Для операционной системы Windows проводится анализ процессов локальной аутентификации и аутентификации с использованием контроллера домена. Для демонстрации атак на подсистему аутентификации рассмотрено программное средство Mimikatz (Франция), позволяющее извлекать парольную информацию из памяти процесса LSASS. Представлен анализ штатных средств ОС Windows для защиты памяти процессов: Security Reference Monitor, Protected Process Light и Virtualization-Based Security. Нарушитель с помощью драйвера ядра может получить доступ к парольной информации пользователя в обход штатных средств защиты. Для Linux-подобных систем представлен результат аналогичного анализа безопасности подсистем локальной аутентификации. Показано, что в модуле GNOME памяти процесса gnome-keyring-daemon можно обнаружить пароли пользователей в открытом виде, которые нарушитель может извлечь, используя привилегии прикладной программы пользовательского уровня. Данная проблема остаётся актуальной для многих современных ОС Linux на базе дистрибутива компании RedHat, таких как CentOS, Ubuntu, GNU/Linux Rolling. Для устранения описанной проблемы исследователями были разработаны программные средства для поиска и удаления паролей из памяти: MimiPenguin (США) и Mimipy (США). Сравнительный анализ этих средств показал их недостатки: средства не могут осуществлять поиск и удаление паролей, состоящих из символов Юникод (Unicode) кодировки, а также имеют медленную скорость работы. Предлагаемое в работе программное средство защиты MimiDove расширяет возможности имеющихся средств и позволяет находить и удалять из памяти пароли, содержащие символы из наборов ASCII и Unicode, затрачивая значительно меньше времени.

1. OS Credential Dumping, MITRE ATT&CK, 2018.
URL: https://attack.mitre.org/techniques/T1003/ (дата обращения: 20.01.2022).

2. CVE-2018-20781. MITRE, 2018. URL: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20781 (дата обращения: 20.01.2022).

3. Du J., Li J. Analysis the Structure of SAM and Cracking Password Base on Windows Operating System. In: International Journal of Future Computer and Communication (IJFCC). 2016, vol. 5, no. 2, p. 112–115.
DOI: https://doi.org/10.18178/ijfcc.2016.5.2.455.

4. Ligh M., Case A., Levy J., Walters. A. The Art of Memory Forensics: Detecting Malware and Threats in Windows, Linux, and Mac Memory. Indianapolis, Indiana. John Wiley & Sons. 2014. – 912 p.

5. Bassil Y. Windows and Linux Operating Systems from a Security Perspective. Journal of Global Research in Computer Science. 2012, vol. 3, no. 2. URL: https://arxiv.org/ftp/arxiv/papers/1204/1204.0197.pdf (дата обращения: 20.01.2022).

6. Kotlaba L. Active Directory Kerberoasting Attack: Monitoring and Detection Techniques. In Proceedings of the 6th International Conference on Information Systems Security and Privacy (ICISSP 2020).
2020, p. 432–439. DOI: https://doi.org/10.5220/0008955004320439.

7. Delpy B. Mimikatz. URL: https://github.com/gentilkiwi/mimikatz (дата обращения: 20.01.2022).

8. Dimov D., Tzonev Y. Pass-the-Hash: One of the Most Prevalent Yet Underrated Attacks for Credentials Theft and Reuse. In Proceedings of the 18th International Conference on Computer Systems and Technologies (CompSysTech’17). 2017, p. 149–154. DOI: https://doi.org/10.1145/3134302.3134338.

9. Isolated User Mode (IUM) Processes.
URL: https://docs.microsoft.com/en-us/windows/win32/procthread/isolated-user-mode--ium--processes (дата обращения: 20.01.2022).

10. Korkin I. Protected Process Light is not Protected: MemoryRanger Fills the Gap Again. Systematic Approaches to Digital Forensic Engineering (SADFE) International Workshop in conjunction with the 42nd IEEE Symposium on Security and Privacy. 2021, p. 298–308.
DOI: https://doi.org/10.1109/SPW53761.2021.00050.

11. Besson F., Dang A., Jensen T. Securing Compilation Against Memory Probing. In Proceedings of the 13th Workshop on Programming Languages and Analysis for Security (PLAS’18). 2018, p. 29–40.
DOI: https://doi.org/10.1145/3264820.3264822.

12. Gregal H. Mimipenguin.
URL: https://github.com/huntergregal/mimipenguin (дата обращения: 20.01.2022).

13. Verdier N. Mimipy. URL: https://github.com/n1nj4sec/mimipy (дата обращения: 20.01.2022).

14. Golub S. MimiDove.
URL: https://github.com/SvetlanaGolub/MimiDove (дата обращения: 20.01.2022).