T1003.007: Файловая система proc
Злоумышленники могут получить учетные данные из файловой системы proc (/proc
). Это псевдофайловая система в Linux-системах, используемая в качестве интерфейса к структурам данных ядра, управляющим виртуальной памятью. Для каждого процесса файл /proc/<идентификатор процесса>/maps
показывает распределение памяти в виртуальном адресном пространстве этого процесса. А файл /proc/<PID>/mem
, используемый в целях отладки, предоставляет доступ к виртуальному адресному пространству процесса.
Имея привилегии root, злоумышленники могут искать в этих областях памяти все процессы системы, где присутствуют последовательности символов, характерные для учетных данных. Злоумышленники могут использовать регулярные выражения, такие как grep -E "^[0-9a-f-]* r" /proc/"$pid"/maps | cut -d' ' -f 1
, для поиска фиксированных строк в структурах памяти или кэшированных хешах. При работе без привилегированного доступа процессы все равно могут просматривать собственные области виртуальной памяти. Некоторые службы или программы могут сохранять учетные данные в памяти процесса в открытом текстовом виде.
Если процесс запущен от имени или с правами веб-браузера, он может искать в файлах /maps
и /mem
последовательности символов, типичные для учетных данных веб-сайтов. Эти последовательности могут содержать хеши или учетные данные в открытом текстовом виде; их также можно использовать для поиска областей памяти с аналогичной структурой.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_cred_access: PT-CR-1693: Unix_Mimipenguin_Cred_Dump: Использование MSF-модуля MimiPenguin для извлечения паролей пользователей в открытом виде из памяти процессов
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте нетипичный доступ к паролям и хешам, хранящимся в памяти. Для того чтобы начать анализ процесса, другим процессам нужно открыть его файл maps в файловой системе /proc. Этот файл хранится по пути |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для извлечения учетных данных из файловой системы Proc (
|
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Следуйте лучшим практикам ограничения доступа к привилегированным учетным записям, чтобы избежать доступа враждебных программ к конфиденциальной информации. |
---|
ID | M1027 | Название | Парольные политики | Описание | Проследите, чтобы учетные записи root на всех системах в сети имели сложные уникальные пароли. |
---|