大名鼎鼎的蠕蟲病毒“震盪波”利用的就是Windows LSASS的一個緩衝溢出漏洞。針對此漏洞進行攻擊可以使LSASS.EXE緩衝區溢出,並使得攻擊者取得對目標系統的完全控制權限。被攻擊的系統會出現一些症狀,比如LSASS.EXE出乎意料地彈出一個一分鐘倒計時窗口,提示“LSASS.EXE出錯需要關機”默默無聞的LSASS進程
悟空等人一大早便來到教室,見譚教授進入教室,悟空馬上問道:“這一課會講些什麼內容啊?”譚教授笑著答道:“今天我們講的這個系統進程,雖然並不顯眼,但是它卻在系統中起關鍵的作用——它就是LSASS進程。”
譚教授解釋道:“這是一個本地的安全授權服務,它會為使用Winlogon服務的授權用戶生成一個進程。這個進程是通過使用授權的包,例如使用默認的msgina.dll來執行的。如果授權是成功的,LSASS就會產生用戶的進入令牌,令牌使用啟動初始的Shell。其他的由用戶初始化的進程繼承這個令牌。而Windows活動目錄遠程堆疊溢出漏洞,正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩衝區邊界檢查,構建超過1000個‘AND’的請求,併發送給伺服器,導致觸發堆疊溢出並且使LSASS.EXE服務崩潰,系統在60秒內重新啟動。
小知識:LSASS是微軟安全機制的系統進程,主要處理一些特殊的安全機制和登錄策略,為Windows系統本地安全許可權服務。注意:LSASS也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm創建的,病毒通過軟碟、群發郵件和P2P檔共用進行傳播。
LSASS進程的作用
聽完譚教授的解說,各位同學都面面相覷,最後還是八戒站起來問道:“這個LSASS進程是幹什麼的?它在系統中起什麼作用?”譚教授回答道:“LSASS是Windows XP系統的一個核心進程,為很多系統服務提供了支持,這其中最主要的就是Policy Agent服務。該服務就是我們常說的IP安全策略服務,在Windows XP系統中默認安裝的啟動類型為自動,依賴於IPSEC driver、Remote Procedure Call、TCP/IP Protocol Driver等服務的支持。”
唐僧提問:“IP安全策略在Windows系統中可以起到什麼作用?”
譚教授解釋說:“IPSEC是一種用來保護內部網、專用網路以及外部網免遭駭客攻擊的重要防禦方法,主要特徵在於它可對所有IP級的通信進行加密和認證。可以為我們系統起一個功能弱但是夠用的防火牆,特別是在裝機過程中,不需借助其他軟體就很好地保護了系統。正是這一點才使IPSEC可以確保包括遠程登錄、客戶/伺服器、電子郵件、檔傳輸及Web訪問在內的多種應用程式的安全。”
辨別真假LSASS進程
這時沙僧問道:“前面講了這麼多關於LSASS的知識,那麼該進程的危害到底是什麼?”
譚教授慢慢地說道:“LSASS進程最大的危險還是進程自身存在各種各樣的漏洞。駭客利用這些漏洞生成各種各樣的危險病毒,並且利用這些漏洞生成大量的網頁木馬。”
悟空馬上接著說:“除此以外,該進程還可能被進行線程插入操作。雖然在以前的課程中並不是每個進程都提到了線程的插入,但是現在一些剛剛推出的木馬程式,在進行線程插入的時候已經不會單單是插入到某個特定的進程中了,而是可以讓用戶自定義插入進程。例如最近就有一款名為‘上興’的木馬程式,在它的服務端配置程式中就有‘插入system32目錄的系統檔’這一項。於是駭客完全可以將服務端進程插入到包括LSASS.EXE在內的任何系統進程中,所以說是非常危險的。”
沙僧又問道:“如何分辨真假LSASS進程呢?”譚教授說道:“首先我們要確定系統中只有一個LSASS進程,如果出現兩個以上的這個進程,那麼其中必有一個是假冒的。LSASS進程是一個本地服務,所以它一定不會連接互聯網的。如果防火牆提示用戶說LSASS進程要連接網路,那麼這個進程必然是假的,我們通過防火牆提示的路徑順藤摸瓜就可以找到假的了。”
譚教授講完以上的內容,微微一笑說:“各位同學,經過本期的學習,你們已經瞭解了有關LSASS進程的知識。但是要熟練掌握這些知識,同學們只有多復習、多實踐,我相信大家一定能成功駕馭各種進程的。”
結束語
經過這8節課的講解,我們分別介紹了8個Windows系統中的高危進程,同時也介紹了它們之所以成為高危進程的原因。到此為止,本系列已經結束。雖然只是短短的8節課的內容,內容也是很基礎的,但是我們相信這些內容一定讓大家獲益不少。因為這些基礎和理論的知識可以讓大家在日後處理安全方面問題的時候,能夠快速找到問題的原因以及處理問題的方法。 |
