T1078.001: Учетные записи по умолчанию

Злоумышленники могут получать и использовать данные для входа в учетные записи по умолчанию для первоначального доступа, закрепления, повышения привилегий или предотвращения обнаружения. Учетные записи по умолчанию — это встроенные в ОС учетные записи, такие как Гость или Администратор в Windows. К учетным записям по умолчанию относятся также учетные записи, заданные по умолчанию производителем или поставщиком других систем, ПО или устройств, включая учетную запись пользователя root в AWS и используемую по умолчанию учетную запись служб в Kubernetes.

Учетные записи по умолчанию используются не только на клиентских машинах. К ним также относятся учетные записи, заданные по умолчанию для сетевых устройств и компьютерных приложений — внутренних, коммерческих или с открытым исходным кодом. Устройства с заранее заданной комбинацией имени пользователя и пароля являются легкой мишенью для злоумышленников и представляют серьезную угрозу для организаций, которые не меняют учетные данные после установки устройства. Аналогичным образом злоумышленники могут использовать опубликованные или украденные закрытые ключи или учетные данные для легитимного подключения к удаленным средам через службы удаленного доступа.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

sap_attack_detection: PT-CR-152: SAPASABAP_Delete_Sapstar_And_Login: Удаление учетной записи SAP* и вход в систему с паролем по умолчанию sap_attack_detection: PT-CR-150: SAPASABAP_Bultin_Accounts_Probing: Попытки войти в систему под встроенными учетными записями sap_attack_detection: PT-CR-160: SAPASABAP_Using_Bultin_Accounts: Использование встроенной учетной записи sap_suspicious_user_activity: PT-CR-238: SAPASABAP_EARLYWATCH_Connect: Нарушение обычного сценария использования пользователя EARLYWATCH и клиента 066 sap_suspicious_user_activity: PT-CR-231: SAPASABAP_Create_Client_And_Login: Пользователь повысил себе привилегии в системе clickhouse: PT-CR-1567: ClickHouse_Logon_Same_User_From_Different_Hosts: Обнаружены попытки входа в СУБД под одной учетной записью с разных узлов clickhouse: PT-CR-1579: ClickHouse_Logon_Same_Host_Different_Users: Обнаружены попытки входа в СУБД под учетными записями разных пользователей с одного узла citrix_ns_adc: PT-CR-2579: Citrix_NS_ADC_Login_With_Default_Credentials: Злоумышленник может воспользоваться стандартной учетной записью, чтобы получить доступ к узлу capabilities_account_manipulation: PT-CR-2882: CAP_Default_User_Enabling: Разблокировка или включение встроенной учетной записи в прикладном ПО. Злоумышленники могут восстанавливать встроенные учетные записи для получения доступа, закрепления в системе, повышения привилегий или обхода средств защиты supply_chain: PT-CR-1765: SupplyChain_Default_Account_Logon: Пользователь вошел или попытался войти в приложение, используя учетную запись по умолчанию capabilities_logon: PT-CR-2881: CAP_Default_Account_Logon: Вход в систему с использованием учетной записи по умолчанию. Получив учетные данные учетной записи, злоумышленники могут воспользоваться ими для получения начального доступа, закрепления, повышения привилегий или предотвращения обнаружения sap_java_suspicious_user_activity: PT-CR-541: SAPASJAVA_Password_Changed_For_SAP_Standard_Users_And_Logon: Пароль стандартного пользователя был изменен, затем пользователь вошел в систему под этой учетной записью

Способы обнаружения

IDDS0002Источник и компонент данныхУчетная запись пользователя: Аутентификация с помощью учетной записиОписание

Отслеживайте попытки доступа к сети или вычислительным ресурсам со стороны пользователей, в том числе путем предоставления учетных данных.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте попытки получить доступ к учетным записям по умолчанию, а также попытки их активации и входа через них. Рекомендуется включать в аудиты проверку всех устройств и приложений на наличие учетных данных по умолчанию и ключей SSH. Если такие данные обнаружены, их следует незамедлительно обновить.

Меры противодействия

IDM1027НазваниеПарольные политикиОписание

Приложения и устройства, использующие имя пользователя и пароль по умолчанию, должны быть изменены сразу после установки и перед развертыванием в производственной среде .