T1003.002: Диспетчер учетных записей безопасности (SAM)

Злоумышленники могут попытаться извлечь учетные данные из базы данных Диспетчера учетных записей безопасности (SAM), используя техники работы с памятью, или через реестр Windows, где хранится база данных SAM. SAM — это файл базы данных, содержащий локальные учетные записи хоста. Как правило, это учетные записи, выводимые командой net user. Для работы с базой данных SAM требуется доступ уровня SYSTEM.

Для получения файла SAM из оперативной памяти может использоваться ряд инструментов:

Кроме того, SAM можно извлечь из реестра с помощью утилиты Reg:

  • reg save HKLM\sam sam
  • reg save HKLM\system system

Затем для локальной обработки базы данных SAM и получения хешей может использоваться Creddump7.

Примечания:

  • RID 500 имеет встроенная локальная учетная запись администратора.
  • RID 501 — гостевая учетная запись.
  • RID учетных записей пользователей — 1000 и больше.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vulnerabilities: PT-CR-2236: CVE_2021_36934_HiveNightmare: Эксплуатация уязвимости CVE-2021–36934 (HiveNightmare), позволяющей прочитать файлы кустов реестра из теневой копии диска без прав администратора active_directory_attacks: PT-CR-2542: RemoteKrbRelay_Usage: Пользователь, не являющийся инициатором подключения, прошел аутентификацию Kerberos. Это может быть признаком использования утилиты RemoteKrbRelay, которая позволяет удаленно провоцировать и ретранслировать Kerberos-аутентификацию с целью получить доступ к какой-либо службе с уровнем привилегий целевой учетной записи, используя техники CertifiedDCOM и SilverPotato mitre_attck_cred_access: PT-CR-2312: MultiDump_Registry_Dump: Использована утилита MultiDump с целью извлечения содержимого кустов реестра SAM, SECURITY и SYSTEM без предупреждений Windows Defender mitre_attck_cred_access: PT-CR-298: Access_System_Credential_Files_Via_Cmdline: Обнаружена попытка получить учетные данные пользователей операционной системы mitre_attck_cred_access: PT-CR-1851: Symbolic_Link_To_Shadow_Copy_Created: Злоумышленники могут создавать символические ссылки на теневые копии Windows для получения доступа к файлам в этих ссылках, например ntds.dit mitre_attck_cred_access: PT-CR-311: Remote_Password_Dump: Удаленный доступ к SAMR, WINREG, SVCCTL и C:\Windows\system32 в течение 30 секунд после проверки подлинности пользователя mitre_attck_cred_access: PT-CR-2484: SharpSecretsdump_Usage: Признаки использования утилиты SharpSecretsdump на языке C#, являющейся интерпретацией утилиты secretsdump.py из пакета Impacket. Утилиту можно запускать только локально на узлах без использования службы удаленного реестра (в отличие от secretsdump.py), что позволяет злоумышленнику обойти существующие правила межсетевых экранов, систем EDR, IDS и других средств защиты и получить секреты от скомпрометированного узла mitre_attck_cred_access: PT-CR-301: Credential_Dump_In_Local_Registry: Обнаружена возможная выгрузка учетных данных пользователей hacking_tools: PT-CR-2237: Go_Secdump_Activity: Использована утилита go-secdump, позволяющая удаленно извлекать хеши из кустов реестра без какого-либо удаленного агента и обращения к диску hacking_tools: PT-CR-2118: AdPEAS_Usage: Запущен сценарий adPEAS для разведки в домене hacking_tools: PT-CR-585: Impacket_Secretsdump: Обнаружено использование утилиты Secretsdump из набора Impacket hacking_tools: PT-CR-758: Lazagne_Usage: Обнаружено использование утилиты LaZagne для создания дампа учетных данных

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы с именами по умолчанию, в которых записаны учетные данные, полученные в диспетчере учетных записей безопасности (SAM).

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для извлечения учетных данных из базы данных Диспетчера учетных записей безопасности (SAM) с помощью техник работы с памятью или через реестр Windows, где хранится база данных SAM.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте случаи открытия диспетчера учетных записей безопасности (SAM) приложениями для создания дампа хеша в локальной файловой системе (%SystemRoot%/system32/config/SAM). Некоторые программы для создания дампа хеша открывают локальную файловую систему как устройство и анализируют ее, записывая результаты в таблицу SAM, чтобы обойти защиту доступа к файлам. Другие такие программы создают копию таблицы SAM в оперативной памяти перед чтением хешей. Также рекомендуется сосредоточиться на обнаружении скомпрометированных существующих учетных записей, которыми пользуются злоумышленники.

IDDS0024Источник и компонент данныхРеестр Windows: Доступ к ключу реестра WindowsОписание

Отслеживайте создание дампов ключей реестра SAM, с помощью которых злоумышленники могут получить доступ к хранимым хешам паролей от учетных записей. Некоторые программы для создания дампа хеша открывают локальную файловую систему как устройство и анализируют ее, записывая результаты в таблицу SAM, чтобы обойти защиту доступа к файлам. Другие такие программы создают копию таблицы SAM в оперативной памяти перед чтением хешей. Также рекомендуется сосредоточиться на обнаружении скомпрометированных существующих учетных записей, которыми пользуются злоумышленники.

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Не включайте учетные записи пользователей или администраторов домена в группы локальных администраторов на всех системах, если они не находятся под строгим контролем, так как это часто эквивалентно наличию учетной записи локального администратора с одинаковым паролем на всех системах. Следуйте передовым методам разработки и администрирования корпоративной сети, чтобы ограничить использование привилегированных учетных записей на всех административных уровнях.

IDM1017НазваниеОбучение пользователейОписание

Чтобы избежать дублирования учетных данных в разных учетных записях и системах, научите пользователей и администраторов не использовать один и тот же пароль для нескольких учетных записей.

IDM1027НазваниеПарольные политикиОписание

Проследите, чтобы учетные записи локальных администраторов на всех системах в сети имели сложные уникальные пароли.

IDM1028НазваниеИзменение конфигурации ОСОписание

По возможности отключите или ограничьте NTLM.