MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1003.008: Содержимое файлов /etc/passwd и /etc/shadow

Злоумышленники могут попытаться сделать дамп содержимого файлов /etc/passwd и /etc/shadow, чтобы взламывать пароли в автономном режиме. Большинство современных операционных систем Linux используют /etc/passwd и /etc/shadow для хранения информации об учетных записях пользователей, включая хеши паролей в /etc/shadow. По умолчанию /etc/shadow доступен для чтения только пользователю root.

Утилита unshadow для Linux может объединить два этих файла в формат, используемый утилитами для взлома паролей, например John the Ripper: # /usr/bin/unshadow /etc/passwd /etc/shadow > /tmp/crack.password.db

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_cred_access: PT-CR-1694: Unix_Hashdump: Использование MSF-модуля hashdump для извлечения хешей паролей пользователей
unix_mitre_attck_cred_access: PT-CR-1696: Unix_Cred_Files_Read: Чтение файлов ОС Unix, содержащих учетные данные

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Monitor for files being accessed that may attempt to dump the contents of /etc/passwd and /etc/shadow to enable offline password cracking. The AuditD monitoring tool, which ships stock in many Linux distributions, can be used to watch for hostile processes attempting to access /etc/passwd and /etc/shadow, alerting on the pid, process name, and arguments of such programs.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may attempt to dump the contents of /etc/passwd and /etc/shadow to enable offline password cracking.

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Follow best practices in restricting access to privileged accounts to avoid hostile programs from accessing such sensitive information.

IDM1027НазваниеПарольные политикиОписание

Ensure that root accounts have complex, unique passwords across all systems on the network.