T1003.002: Диспетчер учетных записей безопасности (SAM)
Злоумышленники могут попытаться извлечь учетные данные из базы данных Диспетчера учетных записей безопасности (SAM), используя техники работы с памятью, или через реестр Windows, где хранится база данных SAM. SAM — это файл базы данных, содержащий локальные учетные записи хоста. Как правило, это учетные записи, выводимые командой net user
. Для работы с базой данных SAM требуется доступ уровня SYSTEM.
Для получения файла SAM из оперативной памяти может использоваться ряд инструментов:
Кроме того, SAM можно извлечь из реестра с помощью утилиты Reg:
reg save HKLM\sam sam
reg save HKLM\system system
Затем для локальной обработки базы данных SAM и получения хешей может использоваться Creddump7.
Примечания:
- RID 500 имеет встроенная локальная учетная запись администратора.
- RID 501 — гостевая учетная запись.
- RID учетных записей пользователей — 1000 и больше.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
vulnerabilities: PT-CR-2236: CVE_2021_36934_HiveNightmare: Эксплуатация уязвимости CVE-2021–36934 (HiveNightmare), позволяющей прочитать файлы кустов реестра из теневой копии диска без прав администратора active_directory_attacks: PT-CR-2542: RemoteKrbRelay_Usage: Пользователь, не являющийся инициатором подключения, прошел аутентификацию Kerberos. Это может быть признаком использования утилиты RemoteKrbRelay, которая позволяет удаленно провоцировать и ретранслировать Kerberos-аутентификацию с целью получить доступ к какой-либо службе с уровнем привилегий целевой учетной записи, используя техники CertifiedDCOM и SilverPotato mitre_attck_cred_access: PT-CR-2312: MultiDump_Registry_Dump: Использована утилита MultiDump с целью извлечения содержимого кустов реестра SAM, SECURITY и SYSTEM без предупреждений Windows Defender mitre_attck_cred_access: PT-CR-298: Access_System_Credential_Files_Via_Cmdline: Обнаружена попытка получить учетные данные пользователей операционной системы mitre_attck_cred_access: PT-CR-1851: Symbolic_Link_To_Shadow_Copy_Created: Злоумышленники могут создавать символические ссылки на теневые копии Windows для получения доступа к файлам в этих ссылках, например ntds.dit mitre_attck_cred_access: PT-CR-311: Remote_Password_Dump: Удаленный доступ к SAMR, WINREG, SVCCTL и C:\Windows\system32 в течение 30 секунд после проверки подлинности пользователя mitre_attck_cred_access: PT-CR-2484: SharpSecretsdump_Usage: Признаки использования утилиты SharpSecretsdump на языке C#, являющейся интерпретацией утилиты secretsdump.py из пакета Impacket. Утилиту можно запускать только локально на узлах без использования службы удаленного реестра (в отличие от secretsdump.py), что позволяет злоумышленнику обойти существующие правила межсетевых экранов, систем EDR, IDS и других средств защиты и получить секреты от скомпрометированного узла mitre_attck_cred_access: PT-CR-301: Credential_Dump_In_Local_Registry: Обнаружена возможная выгрузка учетных данных пользователей hacking_tools: PT-CR-2237: Go_Secdump_Activity: Использована утилита go-secdump, позволяющая удаленно извлекать хеши из кустов реестра без какого-либо удаленного агента и обращения к диску hacking_tools: PT-CR-2118: AdPEAS_Usage: Запущен сценарий adPEAS для разведки в домене hacking_tools: PT-CR-585: Impacket_Secretsdump: Обнаружено использование утилиты Secretsdump из набора Impacket hacking_tools: PT-CR-758: Lazagne_Usage: Обнаружено использование утилиты LaZagne для создания дампа учетных данных
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы с именами по умолчанию, в которых записаны учетные данные, полученные в диспетчере учетных записей безопасности (SAM). |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для извлечения учетных данных из базы данных Диспетчера учетных записей безопасности (SAM) с помощью техник работы с памятью или через реестр Windows, где хранится база данных SAM. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте случаи открытия диспетчера учетных записей безопасности (SAM) приложениями для создания дампа хеша в локальной файловой системе ( |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Доступ к ключу реестра Windows | Описание | Отслеживайте создание дампов ключей реестра SAM, с помощью которых злоумышленники могут получить доступ к хранимым хешам паролей от учетных записей. Некоторые программы для создания дампа хеша открывают локальную файловую систему как устройство и анализируют ее, записывая результаты в таблицу SAM, чтобы обойти защиту доступа к файлам. Другие такие программы создают копию таблицы SAM в оперативной памяти перед чтением хешей. Также рекомендуется сосредоточиться на обнаружении скомпрометированных существующих учетных записей, которыми пользуются злоумышленники. |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Не включайте учетные записи пользователей или администраторов домена в группы локальных администраторов на всех системах, если они не находятся под строгим контролем, так как это часто эквивалентно наличию учетной записи локального администратора с одинаковым паролем на всех системах. Следуйте передовым методам разработки и администрирования корпоративной сети, чтобы ограничить использование привилегированных учетных записей на всех административных уровнях. |
---|
ID | M1017 | Название | Обучение пользователей | Описание | Чтобы избежать дублирования учетных данных в разных учетных записях и системах, научите пользователей и администраторов не использовать один и тот же пароль для нескольких учетных записей. |
---|
ID | M1027 | Название | Парольные политики | Описание | Проследите, чтобы учетные записи локальных администраторов на всех системах в сети имели сложные уникальные пароли. |
---|
ID | M1028 | Название | Изменение конфигурации ОС | Описание | По возможности отключите или ограничьте NTLM. |
---|