T1078.001: Учетные записи по умолчанию
Злоумышленники могут получать и использовать данные для входа в учетные записи по умолчанию для первоначального доступа, закрепления, повышения привилегий или предотвращения обнаружения. Учетные записи по умолчанию — это встроенные в ОС учетные записи, такие как Гость или Администратор в Windows. К учетным записям по умолчанию относятся также учетные записи, заданные по умолчанию производителем или поставщиком других систем, ПО или устройств, включая учетную запись пользователя root в AWS и используемую по умолчанию учетную запись служб в Kubernetes.
Учетные записи по умолчанию используются не только на клиентских машинах. К ним также относятся учетные записи, заданные по умолчанию для сетевых устройств и компьютерных приложений — внутренних, коммерческих или с открытым исходным кодом. Устройства с заранее заданной комбинацией имени пользователя и пароля являются легкой мишенью для злоумышленников и представляют серьезную угрозу для организаций, которые не меняют учетные данные после установки устройства. Аналогичным образом злоумышленники могут использовать опубликованные или украденные закрытые ключи или учетные данные для легитимного подключения к удаленным средам через службы удаленного доступа.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
sap_suspicious_user_activity: PT-CR-231: SAPASABAP_Create_Client_And_Login: Пользователь повысил себе привилегии в системе sap_suspicious_user_activity: PT-CR-238: SAPASABAP_EARLYWATCH_Connect: Нарушение обычного сценария использования пользователя EARLYWATCH и клиента 066 capabilities_account_manipulation: PT-CR-2882: CAP_Default_User_Enabling: Разблокировка или включение встроенной учетной записи в прикладном ПО. Злоумышленники могут восстанавливать встроенные учетные записи для получения доступа, закрепления в системе, повышения привилегий или обхода средств защиты sap_java_suspicious_user_activity: PT-CR-541: SAPASJAVA_Password_Changed_For_SAP_Standard_Users_And_Logon: Пароль стандартного пользователя был изменен, затем пользователь вошел в систему под этой учетной записью citrix_ns_adc: PT-CR-2579: Citrix_NS_ADC_Login_With_Default_Credentials: Злоумышленник может воспользоваться стандартной учетной записью, чтобы получить доступ к узлу capabilities_suspicious_activity: PT-CR-3059: CAP_Activity_From_Known_Malicious_Hostname: Попытки входа на узел с подозрительного узла или подозрительная активность на DHCP-сервере. Подозрительность определяется наличием в сетевом имени узла артефактов, присущих инструментам анализа защищенности, либо дистрибутивов, использующихся для тестирования на проникновение или в компьютерной криминалистике bitbucket: PT-CR-2697: Bitbucket_Login_From_New_Address: Пользователь с важным разрешением вошел в приложение Bitbucket с нового адреса. Это может быть действием злоумышленников, получивших учетные данные пользователя sap_attack_detection: PT-CR-150: SAPASABAP_Bultin_Accounts_Probing: Попытки войти в систему под встроенными учетными записями sap_attack_detection: PT-CR-152: SAPASABAP_Delete_Sapstar_And_Login: Удаление учетной записи SAP* и вход в систему с паролем по умолчанию vk_workmail: PT-CR-2995: VK_Workmail_App_Password_Create: Пользователь создал пароль для внешнего почтового приложения. Это может свидетельствовать об утечке данных или попытке несанкционированного доступа к конфиденциальной информации capabilities_logon: PT-CR-2881: CAP_Default_Account_Logon: Попытка входа в систему с использованием учетной записи по умолчанию. Получив учетные данные учетной записи, злоумышленники могут воспользоваться ими для получения начального доступа, закрепления, повышения привилегий или предотвращения обнаружения clickhouse: PT-CR-1579: ClickHouse_Logon_Same_Host_Different_Users: Обнаружены попытки входа в СУБД под учетными записями разных пользователей с одного узла clickhouse: PT-CR-1567: ClickHouse_Logon_Same_User_From_Different_Hosts: Обнаружены попытки входа в СУБД под одной учетной записью с разных узлов active_directory_attacks: PT-CR-3341: DSRM_Account_Manipulation: Попытка изменения пароля встроенной учетной записи администратора DSRM (Directory Services Restore Mode) или разрешение входа от имени этой учетной записи вне режима восстановления Active Directory. Злоумышленники могут использовать учетную запись администратора DSRM для устойчивого закрепления в среде Active Directory
Способы обнаружения
| ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Аутентификация с помощью учетной записи | Описание | Отслеживайте попытки доступа к сети или вычислительным ресурсам со стороны пользователей, в том числе путем предоставления учетных данных. |
|---|
| ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Отслеживайте попытки получить доступ к учетным записям по умолчанию, а также попытки их активации и входа через них. Рекомендуется включать в аудиты проверку всех устройств и приложений на наличие учетных данных по умолчанию и ключей SSH. Если такие данные обнаружены, их следует незамедлительно обновить. |
|---|
Меры противодействия
| ID | M1027 | Название | Парольные политики | Описание | Приложения и устройства, использующие имя пользователя и пароль по умолчанию, должны быть изменены сразу после установки и перед развертыванием в производственной среде . |
|---|