MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1078.001: Учетные записи по умолчанию

Злоумышленники могут получать и использовать данные для входа в учетные записи по умолчанию для первоначального доступа, закрепления, повышения привилегий или предотвращения обнаружения. Учетные записи по умолчанию — это встроенные в ОС учетные записи, такие как Гость или Администратор в Windows. К учетным записям по умолчанию относятся также учетные записи, заданные по умолчанию производителем или поставщиком других систем, ПО или устройств, включая учетную запись пользователя root в AWS и используемую по умолчанию учетную запись служб в Kubernetes.

Учетные записи по умолчанию используются не только на клиентских машинах. К ним также относятся учетные записи, заданные по умолчанию для сетевых устройств и компьютерных приложений — внутренних, коммерческих или с открытым исходным кодом. Устройства с заранее заданной комбинацией имени пользователя и пароля являются легкой мишенью для злоумышленников и представляют серьезную угрозу для организаций, которые не меняют учетные данные после установки устройства. Аналогичным образом злоумышленники могут использовать опубликованные или украденные закрытые ключи или учетные данные для легитимного подключения к удаленным средам через службы удаленного доступа.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

web_servers_abnormal_activity: PT-CR-1970: Web_Servers_Abnormal_Activity_Login_With_Default_Credentials: Злоумышленник может воспользоваться стандартной учетной записью, чтобы получить доступ к узлу
sap_suspicious_user_activity: PT-CR-231: SAPASABAP_Create_client_and_login: Пользователь повысил себе привилегии в системе
sap_suspicious_user_activity: PT-CR-238: SAPASABAP_EARLYWATCH_connect: Нарушение обычного сценария использования пользователя EARLYWATCH и клиента 066
supply_chain: PT-CR-1765: SupplyChain_Default_Account_Logon: Пользователь вошел или попытался войти в приложение, используя учетную запись по умолчанию
sap_java_suspicious_user_activity: PT-CR-541: SAPASJAVA_Password_changed_for_SAP_standard_users_and_logon: Пароль стандартного пользователя был изменен, затем пользователь вошел в систему под этой учетной записью
uem_safemobile: PT-CR-2289: SafeMobile_Default_Account_Logon: Вход в приложение с помощью учетной записи по умолчанию
active_directory_attacks: PT-CR-656: Failed_Network_Access_with_Unknown_User: Пользователь не смог войти на узел под управлением ОС Windows от имени отключенной или несуществующей учетной записи. Это может быть признаком перебора учетных записей или компрометации учетных данных
clickhouse: PT-CR-1567: ClickHouse_logon_same_user_from_different_hosts: Обнаружены попытки входа в СУБД под одной учетной записью с разных узлов
clickhouse: PT-CR-1579: ClickHouse_logon_same_host_different_users: Обнаружены попытки входа в СУБД под учетными записями разных пользователей с одного узла
clickhouse: PT-CR-1580: ClickHouse_logon_of_significant_user: Обнаружен вход пользователя в СУБД под учетной записью из табличного списка ClickHouse_significant_users
sap_attack_detection: PT-CR-150: SAPASABAP_Bultin_accounts_probing: Попытки войти в систему под встроенными учетными записями
sap_attack_detection: PT-CR-152: SAPASABAP_Delete_sapstar_and_login: Удаление учетной записи SAP* и вход в систему с паролем по умолчанию
sap_attack_detection: PT-CR-160: SAPASABAP_Using_bultin_accounts: Использование встроенной учетной записи

Способы обнаружения

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте попытки получить доступ к учетным записям по умолчанию, а также попытки их активации и входа через них. Рекомендуется включать в аудиты проверку всех устройств и приложений на наличие учетных данных по умолчанию и ключей SSH. Если такие данные обнаружены, их следует незамедлительно обновить.

IDDS0002Источник и компонент данныхУчетная запись пользователя: Аутентификация с помощью учетной записиОписание

Отслеживайте попытки доступа к сети или вычислительным ресурсам со стороны пользователей, в том числе путем предоставления учетных данных.

Меры противодействия

IDM1027НазваниеПарольные политикиОписание

Приложения и устройства, использующие имя пользователя и пароль по умолчанию, должны быть изменены сразу после установки и перед развертыванием в производственной среде .