T1078: Существующие учетные записи
Злоумышленники могут получать и использовать учетные данные существующих пользователей для первоначального доступа, закрепления, повышения уровня привилегий или предотвращения обнаружения. Скомпрометированные учетные данные могут использоваться для обхода систем управления доступом внутри сети и получения постоянного доступа к удаленным системам и доступным извне службам, таким как VPN, веб-клиент Outlook, сетевые устройства или удаленные рабочие столы, а также для повышения уровня привилегий в конкретных системах или подключения к сегментам сети с ограниченным доступом. Обладая учетными данными для легитимного доступа, злоумышленники могут отказаться от использования вредоносного ПО или инструментов, чтобы затруднить свое обнаружение.
В некоторых случаях злоумышленники могут использовать неактивные учетные записи, например принадлежащие уволенным сотрудникам. Использование такой учетной записи может позволить избежать обнаружения, поскольку ее первоначальный владелец не имеет к ней доступа и не может заметить связанную с ней подозрительную активность.
Предоставление одинаковых разрешений локальным, доменным и облачным учетным записям внутри одной сети позволяет злоумышленникам перемещаться между учетными записями и системами для получения высокого уровня доступа (администратора домена или предприятия) и обхода общекорпоративных механизмов управления доступом и, следовательно, небезопасно.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
kaspersky: PT-CR-744: Kaspersky_Endpoint_Policy_Modification: Изменена политика Kaspersky Endpoint Security it_bastion: PT-CR-2173: SKDPUNT_Unusual_Access: Нехарактерное использование учетной записи или системы пользователем it_bastion: PT-CR-2182: SKDPUNT_Unusual_User_Activity: СКДПУ НТ обнаружила активность давно не используемой учетной записи it_bastion: PT-CR-2176: SKDPUNT_Session_From_Different_Subnet: Сеанс пользователя из другой подсети it_bastion: PT-CR-2175: SKDPUNT_Unusual_User_Activity_Time: Нехарактерное время работы пользователя sap_attack_detection: PT-CR-161: SAPASABAP_Using_Various_Accounts_On_One_Terminal: Использование на одном узле различных учетных записей с одного источника sap_attack_detection: PT-CR-159: SAPASABAP_Trying_Get_Privileges: Попытка повысить привилегии в системе SAP sap_attack_detection: PT-CR-163: SAPASABAP_Wrong_User_Type: Частое использование некорректного типа учетной записи при входе в систему mysql_database: PT-CR-624: MySQL_Permissions_Operation: Попытка изменить права учетной записи mysql_database: PT-CR-625: MySQL_User_Operation: Попытка изменить или удалить учетную запись пользователя zabbix: PT-CR-2047: Zabbix_Logon_Same_User_From_Different_Terminals: Пользователь несколько раз вошел в систему Zabbix c разных узлов. Это может быть действием злоумышленника с целью повысить привилегии zabbix: PT-CR-2049: Zabbix_Logon_Different_Users_On_Same_Terminal: Пользователь вошел в систему Zabbix под разными учетными записями. Это может быть действием злоумышленника с целью получить первоначальный доступ к системе, закрепиться в системе, повысить привилегии или обойти защиту zabbix: PT-CR-2044: Zabbix_Logon_Of_Significant_User: Пользователь вошел в систему Zabbix под учетной записью из черного списка. Это может быть действием злоумышленника с целью повысить привилегии или обойти защиту sap_java_suspicious_user_activity: PT-CR-539: SAPASJAVA_Logon_Of_Significant_User: Пользователь вошел под учетной записью из черного списка sap_java_suspicious_user_activity: PT-CR-538: SAPASJAVA_Failed_Logon_With_Locked_Expired_User: Обнаружено несколько неудачных попыток входа sap_java_suspicious_user_activity: PT-CR-540: SAPASJAVA_Logon_Success_Same_User_From_Different_Terminals: Обнаружено несколько успешных попыток входа с разных терминалов sap_suspicious_user_activity: PT-CR-230: SAPASABAP_Assigning_Yourself_Privileges: Пользователь назначил себе привилегии в системе sap_suspicious_user_activity: PT-CR-250: SAPASABAP_Login_Fired_Employee: Уволенный сотрудник вошел в систему sap_suspicious_user_activity: PT-CR-256: SAPASABAP_Unlock_Login_And_Lock_User: Подозрительные действия в системе SAP sap_suspicious_user_activity: PT-CR-239: SAPASABAP_Fast_Login_Logoff: Аномальное поведение пользователя в системе bruteforce: PT-CR-906: LyncSmash_Use: Подбор учетных записей пользователей Skype с помощью утилиты LyncSmash security_code_secret_net_lsp: PT-CR-1886: SecretNet_LSP_Logon_Of_Significant_User: Пользователь вошел в систему под учетной записью из черного списка postgresql_database: PT-CR-2334: PostgreSQL_Assignment_Sensitive_Privilege: Назначение чувствительных привилегий может привести к эскалации привилегий суперпользователя
Подтехники
Способы обнаружения
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Отслеживайте недавние попытки получить доступ к учетным записям по умолчанию, а также попытки их активации и входа через них. Рекомендуется включать в аудиты проверку всех устройств и приложений на наличие учетных записей по умолчанию и ключей SSH. Если такие данные обнаружены, их следует незамедлительно обновить. |
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Аутентификация с помощью учетной записи | Описание | Отслеживайте попытки доступа к сети или вычислительным ресурсам со стороны пользователей, зачастую с предоставлением учетных данных. |
---|
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Метаданные сеанса входа в систему | Описание | Отслеживайте подозрительные действия с учетными записями, которые имеют доступ к нескольким системам, будь то учетные записи пользователей, администраторов или служб. Примеры: одна учетная запись, которая вошла в несколько систем одновременно; несколько учетных записей, вошедших в систему на одной машине одновременно; попытки входа в необычное или нерабочее время. Подозрительная активность может исходить от интерактивной рабочей сессии или включать использование прав владения процессами для запуска бинарных файлов на удаленной системе определенными учетными записями. |
---|
Меры противодействия
ID | M1013 | Название | Руководство для разработчиков приложений | Описание | Проследите, чтобы приложения не хранили конфиденциальные или учетные данные в незащищенном виде (например, учетные данные в коде в виде открытого текста, опубликованные учетные данные в репозиториях или учетные данные в общедоступных облачных хранилищах). |
---|
ID | M1015 | Название | Конфигурация Active Directory | Описание | Отключите устаревшую аутентификацию, которая не поддерживает многофакторную аутентификацию (MFA); используйте современные протоколы аутентификации. |
---|
ID | M1017 | Название | Обучение пользователей | Описание | Приложения могут отправлять уведомления для подтверждения входа в систему (многофакторная аутентификация). Научите пользователей подтверждать только действительные уведомления и сообщать о подозрительных уведомлениях. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Регулярно проверяйте активность учетных записей и отключайте или удаляйте ненужные. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Регулярно проверяйте уровни разрешений локальных учетных записей, чтобы выявить ситуации, которые могут позволить злоумышленнику получить широкий доступ, получив учетные данные привилегированной учетной записи . Ограничьте использование учетных записей локальных администраторов для повседневных операций, которые могут подвергнуть их опасности со стороны потенциальных злоумышленников. Например, проверьте использование учетных записей служб в Kubernetes и избегайте автоматического предоставления им доступа к API Kubernetes, если в этом нет необходимости. Реализация LAPS также может помочь предотвратить повторное использование учетных данных локального администратора в домене. |
---|
ID | M1027 | Название | Парольные политики | Описание | Приложения и устройства, использующие имя пользователя и пароль по умолчанию, должны быть изменены сразу после установки и перед развертыванием в производственной среде . |
---|
ID | M1036 | Название | Политики использования учетных записей | Описание | Используйте политики условного доступа, чтобы блокировать вход с устройств, которые не соответствуют требованиям или имеют IP-адреса вне диапазонов, определенных для организации. |
---|