T1003.008: Содержимое файлов /etc/passwd и /etc/shadow

Злоумышленники могут попытаться сделать дамп содержимого файлов /etc/passwd и /etc/shadow, чтобы взламывать пароли в автономном режиме. Большинство современных операционных систем Linux используют /etc/passwd и /etc/shadow для хранения информации об учетных записях пользователей, включая хеши паролей в /etc/shadow. По умолчанию /etc/shadow доступен для чтения только пользователю root.

Утилита unshadow для Linux может объединить два этих файла в формат, используемый утилитами для взлома паролей, например John the Ripper: # /usr/bin/unshadow /etc/passwd /etc/shadow > /tmp/crack.password.db

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_cred_access: PT-CR-1694: Unix_Hashdump: Использование MSF-модуля hashdump для извлечения хешей паролей пользователей unix_mitre_attck_cred_access: PT-CR-1696: Unix_Cred_Files_Read: Чтение файлов ОС Unix, содержащих учетные данные

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте попытки доступа к файлам, которые могут быть использованы для дампа содержимого директорий /etc/passwd и /etc/shadow с целью взлома паролей в автономном режиме. Инструмент auditd, который по умолчанию установлен во многих версиях Linux, можно использовать для отслеживания вредоносных процессов, которые пытаются получить доступ к файлам /etc/passwd и /etc/shadow — auditd может записывать идентификаторы таких процессов, их имена и аргументы.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для создания дампа содержимого файлов /etc/passwd и /etc/shadow и последующего взлома паролей в автономном режиме.

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Следуйте лучшим практикам ограничения доступа к привилегированным учетным записям, чтобы избежать доступа враждебных программ к такой важной информации.

IDM1027НазваниеПарольные политикиОписание

Проследите, чтобы учетные записи root на всех системах в сети имели сложные уникальные пароли.