Sigma项目规则：检测DPAPI备份密钥窃取行为分析

背景介绍

在Windows安全领域，DPAPI(数据保护API)是系统用于保护敏感数据(如密码、加密密钥等)的核心机制。攻击者一旦获取DPAPI备份密钥，就能解密系统中存储的各种凭据数据，造成严重的安全威胁。近期在Sigma开源威胁检测规则项目中，安全研究人员提交了针对DPAPI备份密钥窃取行为的检测规则。

DPAPI备份密钥窃取技术分析

攻击者常用的工具和技术包括：

1. 安全测试工具：通过特定命令提取备份密钥
2. 安全审计工具：使用特定参数获取密钥
3. 系统管理模块：利用PowerShell的特定命令导出密钥

这些工具在成功提取DPAPI备份密钥后，通常会将密钥保存为特定格式的文件，常见的有：

• ntds_capi_*.pfx格式文件
• ntds_capi_*.pvk格式文件

检测方案设计

针对上述攻击行为，安全研究人员提出了多层次的检测方法：

文件创建行为检测

通过监控系统文件创建事件，可以检测到可疑工具生成的密钥文件特征：

检测规则:
  文件路径包含: 'ntds_capi_'
  文件扩展名: '.pfx'或'.pvk'

这种检测方法具有较低的误报率，因为正常系统操作很少会产生此类特定命名的密钥文件。

进程命令行检测

针对不同可疑工具的命令行特征进行检测：

1. 安全测试工具检测：

检测规则:
  命令行包含: '特定命令'

2. 安全审计工具检测：

检测规则:
  命令行包含: '特定参数'

3. 系统管理模块检测：

检测规则:
  PowerShell命令行包含: '特定命令'

防御建议

1. 监控策略：部署上述检测规则，实时监控系统中可疑的DPAPI相关操作
2. 权限控制：限制普通用户对DPAPI相关功能的访问权限
3. 日志审计：确保系统日志记录完整，特别是进程创建和文件操作日志
4. 安全防护部署：使用终端检测与响应解决方案增强检测能力

总结

DPAPI备份密钥的泄露可能导致严重的凭证泄露风险。通过分析可疑工具和技术特征，可以构建有效的检测规则。Sigma项目提供的这些检测规则为防御DPAPI备份密钥窃取提供了实用的解决方案，安全团队可以根据实际环境部署这些规则，提升整体安全防护能力。