T1056.003: Перехват данных на веб-порталах
Злоумышленники могут внедрить свой код на портале с внешним интерфейсом, например на странице входа VPN-сервиса, для перехвата и пересылки учетных данных пользователей, пытающихся подключиться к сервису. Например, скомпрометированная страница входа может записывать вводимые пользователем учетные данные перед тем, как он подключится к сервису.
Эта вариация перехвата вводимых данных может быть реализована после компрометации с использованием легитимного административного доступа в качестве запасной меры для поддержания доступа к сети через внешние службы удаленного доступа и существующие учетные записи или в рамках первоначальной компрометации путем взлома веб-службы, имеющей внешний интерфейс.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
web_servers_abnormal_activity: PT-CR-1975: Web_Servers_Abnormal_Activity_CaptivePortal_Custom_Page: Злоумышленник может создать персонализированную страницу портала авторизации, чтобы собрать конфиденциальные данные пользователей
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах, связанных со страницами входа, в веб-каталоге организации, которые не соответствуют авторизованным обновлениям содержимого веб-сервера. |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Не позволяйте использовать учетные записи администраторов, имеющие права на изменение веб-содержимого порталов для входа в систему организации, для выполнения повседневных операций, которые могут подвергнуть их опасности со стороны потенциальных злоумышленников в непривилегированных системах. |
---|