T1003.008: Содержимое файлов /etc/passwd и /etc/shadow
Злоумышленники могут попытаться сделать дамп содержимого файлов /etc/passwd
и /etc/shadow
, чтобы взламывать пароли в автономном режиме. Большинство современных операционных систем Linux используют /etc/passwd
и /etc/shadow
для хранения информации об учетных записях пользователей, включая хеши паролей в /etc/shadow
. По умолчанию /etc/shadow
доступен для чтения только пользователю root.
Утилита unshadow для Linux может объединить два этих файла в формат, используемый утилитами для взлома паролей, например John the Ripper: # /usr/bin/unshadow /etc/passwd /etc/shadow > /tmp/crack.password.db
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_cred_access: PT-CR-1694: Unix_Hashdump: Использование MSF-модуля hashdump для извлечения хешей паролей пользователей
unix_mitre_attck_cred_access: PT-CR-1696: Unix_Cred_Files_Read: Чтение файлов ОС Unix, содержащих учетные данные
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Monitor for files being accessed that may attempt to dump the contents of |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may attempt to dump the contents of |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Follow best practices in restricting access to privileged accounts to avoid hostile programs from accessing such sensitive information. |
---|
ID | M1027 | Название | Парольные политики | Описание | Ensure that root accounts have complex, unique passwords across all systems on the network. |
---|