T1078: Существующие учетные записи

Злоумышленники могут получать и использовать учетные данные существующих пользователей для первоначального доступа, закрепления, повышения уровня привилегий или предотвращения обнаружения. Скомпрометированные учетные данные могут использоваться для обхода систем управления доступом внутри сети и получения постоянного доступа к удаленным системам и доступным извне службам, таким как VPN, веб-клиент Outlook, сетевые устройства или удаленные рабочие столы, а также для повышения уровня привилегий в конкретных системах или подключения к сегментам сети с ограниченным доступом. Обладая учетными данными для легитимного доступа, злоумышленники могут отказаться от использования вредоносного ПО или инструментов, чтобы затруднить свое обнаружение.

В некоторых случаях злоумышленники могут использовать неактивные учетные записи, например принадлежащие уволенным сотрудникам. Использование такой учетной записи может позволить избежать обнаружения, поскольку ее первоначальный владелец не имеет к ней доступа и не может заметить связанную с ней подозрительную активность.

Предоставление одинаковых разрешений локальным, доменным и облачным учетным записям внутри одной сети позволяет злоумышленникам перемещаться между учетными записями и системами для получения высокого уровня доступа (администратора домена или предприятия) и обхода общекорпоративных механизмов управления доступом и, следовательно, небезопасно.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

kaspersky: PT-CR-744: Kaspersky_Endpoint_Policy_Modification: Изменена политика Kaspersky Endpoint Security it_bastion: PT-CR-2173: SKDPUNT_Unusual_Access: Нехарактерное использование учетной записи или системы пользователем it_bastion: PT-CR-2182: SKDPUNT_Unusual_User_Activity: СКДПУ НТ обнаружила активность давно не используемой учетной записи it_bastion: PT-CR-2176: SKDPUNT_Session_From_Different_Subnet: Сеанс пользователя из другой подсети it_bastion: PT-CR-2175: SKDPUNT_Unusual_User_Activity_Time: Нехарактерное время работы пользователя sap_attack_detection: PT-CR-161: SAPASABAP_Using_Various_Accounts_On_One_Terminal: Использование на одном узле различных учетных записей с одного источника sap_attack_detection: PT-CR-159: SAPASABAP_Trying_Get_Privileges: Попытка повысить привилегии в системе SAP sap_attack_detection: PT-CR-163: SAPASABAP_Wrong_User_Type: Частое использование некорректного типа учетной записи при входе в систему mysql_database: PT-CR-624: MySQL_Permissions_Operation: Попытка изменить права учетной записи mysql_database: PT-CR-625: MySQL_User_Operation: Попытка изменить или удалить учетную запись пользователя zabbix: PT-CR-2047: Zabbix_Logon_Same_User_From_Different_Terminals: Пользователь несколько раз вошел в систему Zabbix c разных узлов. Это может быть действием злоумышленника с целью повысить привилегии zabbix: PT-CR-2049: Zabbix_Logon_Different_Users_On_Same_Terminal: Пользователь вошел в систему Zabbix под разными учетными записями. Это может быть действием злоумышленника с целью получить первоначальный доступ к системе, закрепиться в системе, повысить привилегии или обойти защиту zabbix: PT-CR-2044: Zabbix_Logon_Of_Significant_User: Пользователь вошел в систему Zabbix под учетной записью из черного списка. Это может быть действием злоумышленника с целью повысить привилегии или обойти защиту sap_java_suspicious_user_activity: PT-CR-539: SAPASJAVA_Logon_Of_Significant_User: Пользователь вошел под учетной записью из черного списка sap_java_suspicious_user_activity: PT-CR-538: SAPASJAVA_Failed_Logon_With_Locked_Expired_User: Обнаружено несколько неудачных попыток входа sap_java_suspicious_user_activity: PT-CR-540: SAPASJAVA_Logon_Success_Same_User_From_Different_Terminals: Обнаружено несколько успешных попыток входа с разных терминалов sap_suspicious_user_activity: PT-CR-230: SAPASABAP_Assigning_Yourself_Privileges: Пользователь назначил себе привилегии в системе sap_suspicious_user_activity: PT-CR-250: SAPASABAP_Login_Fired_Employee: Уволенный сотрудник вошел в систему sap_suspicious_user_activity: PT-CR-256: SAPASABAP_Unlock_Login_And_Lock_User: Подозрительные действия в системе SAP sap_suspicious_user_activity: PT-CR-239: SAPASABAP_Fast_Login_Logoff: Аномальное поведение пользователя в системе bruteforce: PT-CR-906: LyncSmash_Use: Подбор учетных записей пользователей Skype с помощью утилиты LyncSmash security_code_secret_net_lsp: PT-CR-1886: SecretNet_LSP_Logon_Of_Significant_User: Пользователь вошел в систему под учетной записью из черного списка postgresql_database: PT-CR-2334: PostgreSQL_Assignment_Sensitive_Privilege: Назначение чувствительных привилегий может привести к эскалации привилегий суперпользователя

Подтехники

Способы обнаружения

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте недавние попытки получить доступ к учетным записям по умолчанию, а также попытки их активации и входа через них. Рекомендуется включать в аудиты проверку всех устройств и приложений на наличие учетных записей по умолчанию и ключей SSH. Если такие данные обнаружены, их следует незамедлительно обновить.

IDDS0002Источник и компонент данныхУчетная запись пользователя: Аутентификация с помощью учетной записиОписание

Отслеживайте попытки доступа к сети или вычислительным ресурсам со стороны пользователей, зачастую с предоставлением учетных данных.

IDDS0028Источник и компонент данныхСеанс входа в систему: Метаданные сеанса входа в системуОписание

Отслеживайте подозрительные действия с учетными записями, которые имеют доступ к нескольким системам, будь то учетные записи пользователей, администраторов или служб. Примеры: одна учетная запись, которая вошла в несколько систем одновременно; несколько учетных записей, вошедших в систему на одной машине одновременно; попытки входа в необычное или нерабочее время. Подозрительная активность может исходить от интерактивной рабочей сессии или включать использование прав владения процессами для запуска бинарных файлов на удаленной системе определенными учетными записями.

Меры противодействия

IDM1013НазваниеРуководство для разработчиков приложенийОписание

Проследите, чтобы приложения не хранили конфиденциальные или учетные данные в незащищенном виде (например, учетные данные в коде в виде открытого текста, опубликованные учетные данные в репозиториях или учетные данные в общедоступных облачных хранилищах).

IDM1015НазваниеКонфигурация Active DirectoryОписание

Отключите устаревшую аутентификацию, которая не поддерживает многофакторную аутентификацию (MFA); используйте современные протоколы аутентификации.

IDM1017НазваниеОбучение пользователейОписание

Приложения могут отправлять уведомления для подтверждения входа в систему (многофакторная аутентификация). Научите пользователей подтверждать только действительные уведомления и сообщать о подозрительных уведомлениях.

IDM1018НазваниеУправление учетными записямиОписание

Регулярно проверяйте активность учетных записей и отключайте или удаляйте ненужные.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Регулярно проверяйте уровни разрешений локальных учетных записей, чтобы выявить ситуации, которые могут позволить злоумышленнику получить широкий доступ, получив учетные данные привилегированной учетной записи . Ограничьте использование учетных записей локальных администраторов для повседневных операций, которые могут подвергнуть их опасности со стороны потенциальных злоумышленников.

Например, проверьте использование учетных записей служб в Kubernetes и избегайте автоматического предоставления им доступа к API Kubernetes, если в этом нет необходимости. Реализация LAPS также может помочь предотвратить повторное использование учетных данных локального администратора в домене.

IDM1027НазваниеПарольные политикиОписание

Приложения и устройства, использующие имя пользователя и пароль по умолчанию, должны быть изменены сразу после установки и перед развертыванием в производственной среде .

IDM1036НазваниеПолитики использования учетных записейОписание

Используйте политики условного доступа, чтобы блокировать вход с устройств, которые не соответствуют требованиям или имеют IP-адреса вне диапазонов, определенных для организации.