Техника на mitre.org

T1003.005: Кэшированные доменные учетные данные

Злоумышленники могут попытаться получить доступ к кэшированным учетным данным домена, которые используются для аутентификации в случае недоступности контроллера домена.

В Windows Vista и более новых версиях хеши имеют формат DCC2 (Domain Cached Credentials версии 2), также известный как MS-Cache v2. Количество наборов учетных данных, кэшируемых по умолчанию, может изменяться в зависимости от системы. Этот хеш не позволяет проводить атаки с передачей хеша (Pass the Hash) и требует применения техники Взлом пароля для восстановления пароля в открытом виде.

В системах Linux доступ к учетным данным Active Directory может быть получен через кэши, поддерживаемые таким программным обеспечением, как System Security Services Daemon (SSSD) или Quest Authentication Services (ранее VAS). Кэшированные хеши учетных данных обычно расположены в файле /var/lib/sss/db/cache.[домен].ldb (для SSSD) или /var/opt/quest/vas/authcache/vas_auth.vdb (для Quest). Злоумышленники могут использовать утилиты, такие как tdbdump, чтобы извлекать из этих файлов дампы кэшированных хэшей, а также применять технику Взлом пароля для получения паролей в открытом текстовом виде.

При наличии доступа уровня SYSTEM или sudo для извлечения кэшированных учетных данных в Windows могут применяться такие инструменты, как Mimikatz, reg и secretsdump.py, а в Linux — Linikatz.

Примечание. Кэшированные учетные данные для Windows Vista формируются с помощью PBKDF2.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-657: Reading_Registry_Objects: Обнаружен запрос от процесса к объектам реестра, содержащим учетные данные пользователей mitre_attck_cred_access: PT-CR-2484: SharpSecretsdump_Usage: Признаки использования утилиты SharpSecretsdump на языке C#, являющейся интерпретацией утилиты secretsdump.py из пакета Impacket. Утилиту можно запускать только локально на узлах без использования службы удаленного реестра (в отличие от secretsdump.py), что позволяет злоумышленнику обойти существующие правила межсетевых экранов, систем EDR, IDS и других средств защиты и получить секреты от скомпрометированного узла hacking_tools: PT-CR-2237: Go_Secdump_Activity: Использована утилита go-secdump, позволяющая удаленно извлекать хеши из кустов реестра без какого-либо удаленного агента и обращения к диску hacking_tools: PT-CR-2118: AdPEAS_Usage: Запущен сценарий adPEAS для разведки в домене hacking_tools: PT-CR-585: Impacket_Secretsdump: Обнаружено использование утилиты Secretsdump из набора Impacket hacking_tools: PT-CR-758: Lazagne_Usage: Обнаружено использование утилиты LaZagne для создания дампа учетных данных

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения доступа к кэшированным учетным данным домена для аутентификации в случае недоступности контроллера домена. Работая со средствами удаленного доступа, злоумышленники могут использовать их встроенные функции или интегрировать их с имеющимися инструментами, например Mimikatz. Некоторые сценарии PowerShell также позволяют создавать дампы учетных данных, например модуль PowerSploit Invoke-Mimikatz. Для сбора данных о работе этого модуля и их последующего анализа может потребоваться дополнительная настройка функций журналирования. Также рекомендуется сосредоточиться на обнаружении скомпрометированных существующих учетных записей, которыми пользуются злоумышленники.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения доступа к кэшированным учетным данным домена для аутентификации в случае недоступности контроллера домена. Работая со средствами удаленного доступа, злоумышленники могут использовать их встроенные функции или интегрировать их с имеющимися инструментами, например Mimikatz. Некоторые сценарии PowerShell также позволяют создавать дампы учетных данных, например модуль PowerSploit Invoke-Mimikatz. Для сбора данных о работе этого модуля и их последующего анализа может потребоваться дополнительная настройка функций журналирования. Также рекомендуется сосредоточиться на обнаружении скомпрометированных существующих учетных записей, которыми пользуются злоумышленники.

Меры противодействия

ID	M1015	Название	Конфигурация Active Directory	Описание	По возможности добавляйте пользователей в группу безопасности Active Directory "Защищенные пользователи". Это поможет ограничить кэширование учетных данных пользователей в виде открытого текста.

ID	M1017	Название	Обучение пользователей	Описание	Чтобы избежать дублирования учетных данных в разных учетных записях и системах, научите пользователей и администраторов не использовать один и тот же пароль для нескольких учетных записей.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Не включайте учетные записи пользователей или администраторов домена в группы локальных администраторов на всех системах, если они не находятся под строгим контролем, так как это часто эквивалентно наличию учетной записи локального администратора с одинаковым паролем на всех системах. Следуйте передовым методам разработки и администрирования корпоративной сети, чтобы ограничить использование привилегированных учетных записей на всех административных уровнях.

ID	M1027	Название	Парольные политики	Описание	Проследите, чтобы учетные записи локальных администраторов на всех системах в сети имели сложные уникальные пароли.

ID	M1028	Название	Изменение конфигурации ОС	Описание	По возможности ограничьте количество кэшированных учетных данных (HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\cachedlogonscountvalue).

ID	Название	Описание
M1015	Конфигурация Active Directory	По возможности добавляйте пользователей в группу безопасности Active Directory "Защищенные пользователи". Это поможет ограничить кэширование учетных данных пользователей в виде открытого текста.
M1017	Обучение пользователей	Чтобы избежать дублирования учетных данных в разных учетных записях и системах, научите пользователей и администраторов не использовать один и тот же пароль для нескольких учетных записей.
M1026	Управление привилегированными учетными записями	Не включайте учетные записи пользователей или администраторов домена в группы локальных администраторов на всех системах, если они не находятся под строгим контролем, так как это часто эквивалентно наличию учетной записи локального администратора с одинаковым паролем на всех системах. Следуйте передовым методам разработки и администрирования корпоративной сети, чтобы ограничить использование привилегированных учетных записей на всех административных уровнях.
M1027	Парольные политики	Проследите, чтобы учетные записи локальных администраторов на всех системах в сети имели сложные уникальные пароли.
M1028	Изменение конфигурации ОС	По возможности ограничьте количество кэшированных учетных данных (HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\cachedlogonscountvalue).