T1056.003: Перехват данных на веб-порталах

Злоумышленники могут внедрить свой код на портале с внешним интерфейсом, например на странице входа VPN-сервиса, для перехвата и пересылки учетных данных пользователей, пытающихся подключиться к сервису. Например, скомпрометированная страница входа может записывать вводимые пользователем учетные данные перед тем, как он подключится к сервису.

Эта вариация перехвата вводимых данных может быть реализована после компрометации с использованием легитимного административного доступа в качестве запасной меры для поддержания доступа к сети через внешние службы удаленного доступа и существующие учетные записи или в рамках первоначальной компрометации путем взлома веб-службы, имеющей внешний интерфейс.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

web_servers_abnormal_activity: PT-CR-1975: Web_Servers_Abnormal_Activity_CaptivePortal_Custom_Page: Злоумышленник может создать персонализированную страницу портала авторизации, чтобы собрать конфиденциальные данные пользователей

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах, связанных со страницами входа, в веб-каталоге организации, которые не соответствуют авторизованным обновлениям содержимого веб-сервера.

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Не позволяйте использовать учетные записи администраторов, имеющие права на изменение веб-содержимого порталов для входа в систему организации, для выполнения повседневных операций, которые могут подвергнуть их опасности со стороны потенциальных злоумышленников в непривилегированных системах.