Техника на mitre.org

T1003: Получение дампа учетных данных

Злоумышленники могут попытаться получить дамп учетных данных (обычно в виде хешей или незашифрованных паролей). Учетные данные могут быть получены из кэша, памяти или структур ОС и затем использованы для перемещения внутри периметра и доступа к конфиденциальной информации.

Некоторые из инструментов, упомянутых в описаниях соответствующих подтехник, могут использоваться как злоумышленниками, так и специалистами по тестированию систем безопасности. Вероятно, существуют и другие специально разработанные инструменты.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

microsoft_mecm: PT-CR-1860: MECM_SharpSCCM: Использование утилиты SharpSCCM, предназначенной для поиска конфиденциальной информации о клиентах MECM mitre_attck_cred_access: PT-CR-911: Svchost_Memory_Dump: Сохранена информация процесса svchost mitre_attck_cred_access: PT-CR-768: Intercept_Creds_From_MSTSC: Обнаружена выгрузка учетных данных, использованных в процессе mstsc.exe при RDP подключении mitre_attck_cred_access: PT-CR-2487: RdpStrike_Usage: Признаки использования инструмента RdpStrike (модуль Cobalt Strike), позволяющего извлечь из памяти процесса mstsc.exe учетные данные в открытом виде mitre_attck_lateral_movement: PT-CR-225: Creation_Suspicious_File: Обнаружено создание потенциально вредоносного файла hacking_tools: PT-CR-757: Internal_Monologue_Attack: Обнаружена атака NetNTLM Downgrade с помощью утилиты Internal Monologue

Подтехники

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте вызовы API, с помощью которых злоумышленники могут попытаться получить доступ к учетным данным, хранящимся в памяти процесса службы проверки подлинности локальной системы безопасности (LSASS). Для дампа процесса LSASS могут применяться такие вызовы API ОС, как `OpenProcess` и `MiniDumpWriteDump`. Выполнение этих функций может вызвать появление событий с ИД 4663 в журналах безопасности (Microsoft Security Auditing) и событий с ИД 10 (Microsoft Sysmon). Примечание. Большинство инструментов EDR не поддерживают прямой мониторинг вызовов API, так как конечная система генерирует их слишком много. Однако они могут создавать оповещения или события на основе абстракции вызовов API ОС. Для отслеживания процедуры выполнения (включая вызовы API ОС) отдельного PE-бинарного файла можно использовать инструменты динамического анализа вредоносного ПО (то есть песочницы).

ID	DS0009	Источник и компонент данных	Процесс: Обращение к процессу	Описание	Отслеживайте взаимодействие нетипичных процессов с lsass.exe. Программы для создания дампа учетных данных, такие как Mimikatz, обращаются к этому процессу, определяют местоположение ключа секретов LSA и расшифровывают разделы памяти, в которых хранятся учетные данные. Такие программы также могут использовать методы отраженного внедрения кода в процессы, чтобы скрыть возможные индикаторы вредоносной активности. Использование Procdump и диспетчера задач Windows для создания дампов LSASS может детектироваться на основании событий создания процессов, поскольку обе службы используют предсказуемый набор аргументов командной строки для указания на процесс, дамп которого нужно создать. Примечание. События обращения к службе Sysmon (событие с ИД 10) могут генерировать большое количество ложных срабатываний. Чтобы их сократить, требуется изменить файл конфигурации Sysmon. Рекомендуется использовать подход, аналогичный реализованному в проекте Sysmon Modular Configuration (https://github.com/olafhartong/sysmon-modular), и отфильтровывать безопасные процессы, которые генерируют много событий обращения к процессам. Значение GrantedAccess в приведенном ниже анализе использования Mimikatz выбрано исключительно для иллюстрации метода детектирования обращения Mimikatz к LSASS. В реальной среде значения GrantedAccess могут изменяться с выходом новых версий Mimikatz, поэтому специалистам по обнаружению следует всегда проверять актуальность значений GrantedAccess, на основании которых выполняется анализ. Анализ 1. Mimikatz `(source=WinEventLog:"Microsoft-Windows-Sysmon/Operational" EventCode="10" AND TargetImage= "lsass.exe" AND (GrantedAccess=0x1410 OR GrantedAccess=0x1010 OR GrantedAccess=0x1438 OR GrantedAccess=0x143a OR GrantedAccess=0x1418) CallTrace="C:\windows\SYSTEM32\ntdll.dll+\|C:\windows\System32\KERNELBASE.dll+20edd\|UNKNOWN()")` Анализ 2. Procdump `((sourceType=WinEventLog:"Microsoft-Windows-Sysmon/Operational" EventCode="10") AND TargetImage= "lsass.exe" AND SourceImage= "procdump.exe")` Анализ 3. Диспетчер задач Windows `((sourceType=WinEventLog:"Microsoft-Windows-Sysmon/Operational" EventCode="10") AND TargetImage="lsass.exe" AND SourceImage= "c:\windows\taskmgr.exe")`

ID	DS0026	Источник и компонент данных	Active Directory: Доступ к объекту Active Directory	Описание	Отслеживайте в журналах контроллера домена запросы на репликацию и другую незапланированную деятельность, которая может быть связана с DCSync . Примечание. Контроллер домена может не журналировать запросы на репликацию, которые исходят от стандартной учетной записи контроллера домена . Отслеживайте запросы на репликацию от IP-адресов, не связанных с известными контроллерами домена . Аналитика 1. Подозрительный AD `source="*WinEventLog:Security" EventCode="4662" AND AccessMask= "0x100" AND (guid= “1131f6ad-9c07-11d1-f79f-00c04fc2dcd2” OR guid= “1131f6aa-9c07-11d1-f79f-00c04fc2dcd2” OR guid= “9923a32a-3607-11d2-b9be-0000f87a36b2” OR guid= “89e95b76-444d-4c62-991a-0facbeda640c“)`

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут указывать на создание дампа учетных данных. В журналах Windows 8.1 и Windows Server 2012 R2 проверяйте, был ли процесс lsass.exe запущен как защищенный процесс. По возможности отслеживайте события Sysmon с ИД 1 и (или) события безопасности Windows с ИД 4688 на предмет активности процессов. Примечание. В отличие от Procdump, в синтаксисе командной строки Rundll32/MiniDump вместо имени процесса, дамп которого нужно создать, используется его идентификатор. И поскольку идентификатор процесса LSASS является недетерминированным, обнаружение файла MiniDump не всегда указывает на создание дампа LSASS. Чтобы снизить количество ложных срабатываний, может потребоваться дополнительная настройка инструментов. Выполняя мониторинг функций DLL в командной строке, всегда проверяйте порядковый номер функции. Анализ 1. Procdump `(source=WinEventLog:"Security" EventCode="4688") OR (source=WinEventLog:"Microsoft-Windows-Sysmon/Operational" EventCode="1") AND Image="procdump.exe" \| where CommandLine LIKE "%lsass%"` Анализ 2. Создание MiniDump через rundll32 `(source=WinEventLog:"Security" EventCode="4688") OR (source=WinEventLog:"Microsoft-Windows-Sysmon/Operational" EventCode="1") AND Image="\rundll32.exe" \| where CommandLine LIKE "%comsvcs.dll MiniDump%" OR CommandLine="_comsvcs.dll,#24")`

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте недавно созданные файлы с именами по умолчанию, в которых записаны учетные данные, полученные в диспетчере учетных записей безопасности (SAM).

ID	DS0024	Источник и компонент данных	Реестр Windows: Доступ к ключу реестра Windows	Описание	Отслеживайте попытки получения доступа к секретам LSA, которые хранятся в разделе реестра `HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets`.

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отслеживайте попытки доступа к файлам, которые могут быть использованы для дампа содержимого директорий `/etc/passwd` и `/etc/shadow` с целью взлома паролей в автономном режиме. Инструмент AuditD, который по умолчанию установлен во многих версиях Linux, можно использовать для отслеживания вредоносных программ. Если те попытаются получить доступ к каталогам `/etc/passwd` и `/etc/shadow`, AuditD уведомит вас о PID, имени процесса и аргументах этих программ.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения доступа к кэшированным учетным данным домена для аутентификации в случае недоступности контроллера домена. Работая со средствами удаленного доступа, злоумышленники могут использовать их встроенные функции или интегрировать их с имеющимися инструментами, например Mimikatz. Некоторые сценарии PowerShell также позволяют создавать дампы учетных данных, например модуль PowerSploit Invoke-Mimikatz. Для сбора данных о работе этого модуля и их последующего анализа может потребоваться дополнительная настройка функций журналирования. Также рекомендуется сосредоточиться на обнаружении скомпрометированных существующих учетных записей, которыми пользуются злоумышленники.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.
DS0009	Процесс: Вызовы API ОС	Отслеживайте вызовы API, с помощью которых злоумышленники могут попытаться получить доступ к учетным данным, хранящимся в памяти процесса службы проверки подлинности локальной системы безопасности (LSASS). Для дампа процесса LSASS могут применяться такие вызовы API ОС, как `OpenProcess` и `MiniDumpWriteDump`. Выполнение этих функций может вызвать появление событий с ИД 4663 в журналах безопасности (Microsoft Security Auditing) и событий с ИД 10 (Microsoft Sysmon). Примечание. Большинство инструментов EDR не поддерживают прямой мониторинг вызовов API, так как конечная система генерирует их слишком много. Однако они могут создавать оповещения или события на основе абстракции вызовов API ОС. Для отслеживания процедуры выполнения (включая вызовы API ОС) отдельного PE-бинарного файла можно использовать инструменты динамического анализа вредоносного ПО (то есть песочницы).
DS0009	Процесс: Обращение к процессу	Отслеживайте взаимодействие нетипичных процессов с lsass.exe. Программы для создания дампа учетных данных, такие как Mimikatz, обращаются к этому процессу, определяют местоположение ключа секретов LSA и расшифровывают разделы памяти, в которых хранятся учетные данные. Такие программы также могут использовать методы отраженного внедрения кода в процессы, чтобы скрыть возможные индикаторы вредоносной активности. Использование Procdump и диспетчера задач Windows для создания дампов LSASS может детектироваться на основании событий создания процессов, поскольку обе службы используют предсказуемый набор аргументов командной строки для указания на процесс, дамп которого нужно создать. Примечание. События обращения к службе Sysmon (событие с ИД 10) могут генерировать большое количество ложных срабатываний. Чтобы их сократить, требуется изменить файл конфигурации Sysmon. Рекомендуется использовать подход, аналогичный реализованному в проекте Sysmon Modular Configuration (https://github.com/olafhartong/sysmon-modular), и отфильтровывать безопасные процессы, которые генерируют много событий обращения к процессам. Значение GrantedAccess в приведенном ниже анализе использования Mimikatz выбрано исключительно для иллюстрации метода детектирования обращения Mimikatz к LSASS. В реальной среде значения GrantedAccess могут изменяться с выходом новых версий Mimikatz, поэтому специалистам по обнаружению следует всегда проверять актуальность значений GrantedAccess, на основании которых выполняется анализ. Анализ 1. Mimikatz `(source=WinEventLog:"Microsoft-Windows-Sysmon/Operational" EventCode="10" AND TargetImage= "lsass.exe" AND (GrantedAccess=0x1410 OR GrantedAccess=0x1010 OR GrantedAccess=0x1438 OR GrantedAccess=0x143a OR GrantedAccess=0x1418) CallTrace="C:\windows\SYSTEM32\ntdll.dll+\|C:\windows\System32\KERNELBASE.dll+20edd\|UNKNOWN()")` Анализ 2. Procdump `((sourceType=WinEventLog:"Microsoft-Windows-Sysmon/Operational" EventCode="10") AND TargetImage= "lsass.exe" AND SourceImage= "procdump.exe")` Анализ 3. Диспетчер задач Windows `((sourceType=WinEventLog:"Microsoft-Windows-Sysmon/Operational" EventCode="10") AND TargetImage="lsass.exe" AND SourceImage= "c:\windows\taskmgr.exe")`
DS0026	Active Directory: Доступ к объекту Active Directory	Отслеживайте в журналах контроллера домена запросы на репликацию и другую незапланированную деятельность, которая может быть связана с DCSync . Примечание. Контроллер домена может не журналировать запросы на репликацию, которые исходят от стандартной учетной записи контроллера домена . Отслеживайте запросы на репликацию от IP-адресов, не связанных с известными контроллерами домена . Аналитика 1. Подозрительный AD `source="*WinEventLog:Security" EventCode="4662" AND AccessMask= "0x100" AND (guid= “1131f6ad-9c07-11d1-f79f-00c04fc2dcd2” OR guid= “1131f6aa-9c07-11d1-f79f-00c04fc2dcd2” OR guid= “9923a32a-3607-11d2-b9be-0000f87a36b2” OR guid= “89e95b76-444d-4c62-991a-0facbeda640c“)`
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут указывать на создание дампа учетных данных. В журналах Windows 8.1 и Windows Server 2012 R2 проверяйте, был ли процесс lsass.exe запущен как защищенный процесс. По возможности отслеживайте события Sysmon с ИД 1 и (или) события безопасности Windows с ИД 4688 на предмет активности процессов. Примечание. В отличие от Procdump, в синтаксисе командной строки Rundll32/MiniDump вместо имени процесса, дамп которого нужно создать, используется его идентификатор. И поскольку идентификатор процесса LSASS является недетерминированным, обнаружение файла MiniDump не всегда указывает на создание дампа LSASS. Чтобы снизить количество ложных срабатываний, может потребоваться дополнительная настройка инструментов. Выполняя мониторинг функций DLL в командной строке, всегда проверяйте порядковый номер функции. Анализ 1. Procdump `(source=WinEventLog:"Security" EventCode="4688") OR (source=WinEventLog:"Microsoft-Windows-Sysmon/Operational" EventCode="1") AND Image="procdump.exe" \| where CommandLine LIKE "%lsass%"` Анализ 2. Создание MiniDump через rundll32 `(source=WinEventLog:"Security" EventCode="4688") OR (source=WinEventLog:"Microsoft-Windows-Sysmon/Operational" EventCode="1") AND Image="\rundll32.exe" \| where CommandLine LIKE "%comsvcs.dll MiniDump%" OR CommandLine="_comsvcs.dll,#24")`
DS0022	Файл: Создание файла	Отслеживайте недавно созданные файлы с именами по умолчанию, в которых записаны учетные данные, полученные в диспетчере учетных записей безопасности (SAM).
DS0024	Реестр Windows: Доступ к ключу реестра Windows	Отслеживайте попытки получения доступа к секретам LSA, которые хранятся в разделе реестра `HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets`.
DS0022	Файл: Доступ к файлу	Отслеживайте попытки доступа к файлам, которые могут быть использованы для дампа содержимого директорий `/etc/passwd` и `/etc/shadow` с целью взлома паролей в автономном режиме. Инструмент AuditD, который по умолчанию установлен во многих версиях Linux, можно использовать для отслеживания вредоносных программ. Если те попытаются получить доступ к каталогам `/etc/passwd` и `/etc/shadow`, AuditD уведомит вас о PID, имени процесса и аргументах этих программ.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения доступа к кэшированным учетным данным домена для аутентификации в случае недоступности контроллера домена. Работая со средствами удаленного доступа, злоумышленники могут использовать их встроенные функции или интегрировать их с имеющимися инструментами, например Mimikatz. Некоторые сценарии PowerShell также позволяют создавать дампы учетных данных, например модуль PowerSploit Invoke-Mimikatz. Для сбора данных о работе этого модуля и их последующего анализа может потребоваться дополнительная настройка функций журналирования. Также рекомендуется сосредоточиться на обнаружении скомпрометированных существующих учетных записей, которыми пользуются злоумышленники.

Меры противодействия

ID	M1015	Название	Конфигурация Active Directory	Описание	По возможности добавляйте пользователей в группу безопасности Active Directory "Защищенные пользователи". Это поможет ограничить кэширование учетных данных пользователей в виде открытого текста.

ID	M1017	Название	Обучение пользователей	Описание	Чтобы избежать дублирования учетных данных в разных учетных записях и системах, научите пользователей и администраторов не использовать один и тот же пароль для нескольких учетных записей.

ID	M1025	Название	Целостность привилегированных процессов	Описание	В Windows 8.1 и Windows Server 2012 R2 включите функцию Protected Process Light для LSA.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Следуйте лучшим практикам ограничения доступа к привилегированным учетным записям, чтобы избежать доступа враждебных программ к конфиденциальной информации.

ID	M1027	Название	Парольные политики	Описание	Проследите, чтобы учетные записи root имели сложные, уникальные пароли для всех систем в сети.

ID	M1028	Название	Изменение конфигурации ОС	Описание	По возможности отключите или ограничьте NTLM.

ID	M1040	Название	Предотвращение некорректного поведения	Описание	В Windows 10 включите правила Attack Surface Reduction (ASR) для защиты LSASS и предотвращения кражи учетных данных .

ID	M1041	Название	Шифрование важной информации	Описание	Обеспечьте надлежащую защиту резервных копий контроллера домена.

ID	M1043	Название	Защита от получения учетных данных	Описание	В Windows 10 компания Microsoft внедрила новые средства защиты под названием Credential Guard для защиты секретов LSA, которые могут быть использованы для получения учетных данных с помощью форм сброса учетных данных. Он не настроен по умолчанию и имеет системные требования к аппаратному обеспечению и прошивке системы. Он также не защищает от всех форм дампинга учетных данных.

ID	Название	Описание
M1015	Конфигурация Active Directory	По возможности добавляйте пользователей в группу безопасности Active Directory "Защищенные пользователи". Это поможет ограничить кэширование учетных данных пользователей в виде открытого текста.
M1017	Обучение пользователей	Чтобы избежать дублирования учетных данных в разных учетных записях и системах, научите пользователей и администраторов не использовать один и тот же пароль для нескольких учетных записей.
M1025	Целостность привилегированных процессов	В Windows 8.1 и Windows Server 2012 R2 включите функцию Protected Process Light для LSA.
M1026	Управление привилегированными учетными записями	Следуйте лучшим практикам ограничения доступа к привилегированным учетным записям, чтобы избежать доступа враждебных программ к конфиденциальной информации.
M1027	Парольные политики	Проследите, чтобы учетные записи root имели сложные, уникальные пароли для всех систем в сети.
M1028	Изменение конфигурации ОС	По возможности отключите или ограничьте NTLM.
M1040	Предотвращение некорректного поведения	В Windows 10 включите правила Attack Surface Reduction (ASR) для защиты LSASS и предотвращения кражи учетных данных .
M1041	Шифрование важной информации	Обеспечьте надлежащую защиту резервных копий контроллера домена.
M1043	Защита от получения учетных данных	В Windows 10 компания Microsoft внедрила новые средства защиты под названием Credential Guard для защиты секретов LSA, которые могут быть использованы для получения учетных данных с помощью форм сброса учетных данных. Он не настроен по умолчанию и имеет системные требования к аппаратному обеспечению и прошивке системы. Он также не защищает от всех форм дампинга учетных данных.