Skip to content

Credential Guard

Windows Defender Credential Guard, LSA secret'larını (NTLM hash'leri, Kerberos TGT'leri) bir trustlet içinde izole etmek için VBS kullanır, böylece SYSTEM seviyesindeki malware bile onları normal bellekten okuyamaz.

Mechanism

Bug class / invariant

Credential hırsızlığı (pass-the-hash, pass-the-ticket), secret'ları LSASS process belleğinden okumaya dayanır. Credential Guard, secret işleyen kodu (LSA'yı) Virtual Secure Mode'da çalışan izole bir VBS trustlet'ine (LSAIso) taşıyarak SYSTEM/admin tüm process belleğini okuyabilir invariant'ını kırar. normal-world LSASS yalnızca bir proxy tutar; asıl NTLM hash'leri ve Kerberos TGT'leri hypervisor sınırının arkasında yaşar. Virtualization-Based Security belleği hypervisor ile partition'ladığından, normal world'deki kernel-mode (ring 0) kod bile izole secret'ları okuyamaz — yalnızca kısıtlı bir interface üzerinden operasyon talep edebilir.

Walkthrough

Yüksek seviye, kavramsal (Microsoft'un public dokümantasyonundan):

  1. VBS/HVCI etkindir; Credential Guard boot'ta izole LSA'yı (LSAIso) VSM içinde başlatır.
  2. Authentication secret'ları normal LSASS belleğinde değil, trustlet içinde saklanır ve kullanılır.
  3. Bir saldırgan SYSTEM elde eder ve LSASS'a karşı bir credential dumper çalıştırır.
  4. Dump yalnızca proxy/encrypted blob'lar verir — türetilmiş NTLM hash'leri / TGT'leri normal-world address space'inde mevcut değildir.
  5. Dump edilen materyalden pass-the-hash/ticket reuse başarısız olur, çünkü kullanılabilir secret'lar izole trustlet'i hiç terk etmedi.

Warning

Credential Guard, bellekte at-rest hâldeki türetilmiş secret'ları korur. cleartext-credential phishing'ini, key-logging'i ya da kullanıcı oturum açmışken onun adına gerçekleştirilen saldırıları durdurmaz; ve VBS/HVCI'nin integrity'sine bağımlıdır (bkz. Windows Secure Kernel Mode VBS downgrade EoP).

Detection

  • Credential Guard'ın çalıştığını doğrula (LSAIso process mevcut; System Information / event log'ları VBS + Credential Guard'ın aktif olduğunu teyit eder).
  • EDR: LSASS memory-access denemeleri (read hakkıyla handle açılışları) — dump işe yaramaz olsa bile yine de şüphelidir.
  • VBS/Credential Guard'ı devre dışı bırakma denemelerini izle (registry/policy değişiklikleri, downgrade denemeleri).

Mitigation

  • Credential Guard'ı etkinleştir (VBS gerektirir); policy/MDM üzerinden dayat ve boot sonrası doğrula.
  • HVCI destekli Virtualization-based security'yi etkinleştir ve secure-kernel bileşenlerini downgrade'e karşı patch'li tut.
  • cleartext credential'ların maruziyetini azaltmak için least-privilege, LSASS koruması (RunAsPPL) ve tiered admin ile birleştir.

References