T1098: Манипуляции с учетной записью

Злоумышленники могут осуществлять манипуляции с учетными записями, чтобы сохранить и (или) расширить доступ к системам жертвы. Манипуляции с учетной записью могут включать в себя любые действия, сохраняющие или изменяющие доступ злоумышленника к скомпрометированной учетной записи, например изменение учетных данных или групп разрешений. К этим действиям также могут относиться действия с учетными записями, направленные на нарушение политик безопасности, — например, итеративное обновление паролей для обхода политик срока действия паролей и продления срока действия скомпрометированных учетных данных.

Чтобы создавать учетные записи или манипулировать ими, злоумышленник должен обладать достаточными разрешениями в системах или домене. При этом манипуляции с учетными записями могут привести и к повышению привилегий, если внесенные изменения предоставляют доступ к дополнительным ролям, разрешениям или существующим учетным записям с более высокими привилегиями.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

clickhouse: PT-CR-1566: ClickHouse_Grant_All_Roles: Обнаружена попытка изменения прав или роли пользователя sap_suspicious_user_activity: PT-CR-230: SAPASABAP_Assigning_Yourself_Privileges: Пользователь назначил себе привилегии в системе sap_suspicious_user_activity: PT-CR-232: SAPASABAP_Critical_Action_By_Non_Admin_User: Пользователь, не имеющий административных полномочий, выполнил критически опасное действие в системе sap_java_suspicious_user_activity: PT-CR-541: SAPASJAVA_Password_Changed_For_SAP_Standard_Users_And_Logon: Пароль стандартного пользователя был изменен, затем пользователь вошел в систему под этой учетной записью sap_java_suspicious_user_activity: PT-CR-535: SAPASJAVA_Authorization_Assignment_By_Non_Admin_User: Пользователь добавлен в группу пользователем, не являющимся администратором sap_java_suspicious_user_activity: PT-CR-534: SAPASJAVA_Assign_User_To_Admin_Group: Пользователь добавлен в группу администраторов sap_java_suspicious_user_activity: PT-CR-543: SAPASJAVA_User_Password_Changed: Пароль учетной записи был изменен несколько раз microsoft_exchange: PT-CR-2360: Exchange_Critical_Group_Manipulate: Пользователь изменил или удалил критически важную группу в системе Exchange. Это может быть действием злоумышленника с целью повысить привилегии или нарушить доступность системы microsoft_exchange: PT-CR-2355: Exchange_Admin_Role_Actions: Пользователь выполнил действие с ролью управления в системе Exchange. Это может свидетельствовать о попытке злоумышленника повысить привилегии или нарушить доступность системных ресурсов microsoft_exchange: PT-CR-2411: Exchange_Illegal_Distribution_Group_Modify: Изменение групп Active Directory с возможностью автоматического добавления пользователей microsoft_exchange: PT-CR-2356: Exchange_Role_Assignment_Policy_Actions: Пользователь создал или изменил политику назначения ролей управления в системе Exchange. Это может быть действием злоумышленника с целью повысить привилегии microsoft_exchange: PT-CR-2434: Exchange_Distribution_Group_Member_Added: Попытка добавить пользователя в группу рассылки mitre_attck_impact: PT-CR-496: Remove_Account_From_Sensitive_Group: Обнаружение попыток удалить учетную запись из группы, значимой для ИБ (табличный список Significant_Windows_Groups) elasticsearch: PT-CR-2708: Elasticsearch_Critical_Users_Modify: Изменение конфигурации критически важного пользователя в базе данных Elasticsearch. Это может быть признаком компрометации учетной записи пользователя elasticsearch: PT-CR-2705: Elasticsearch_Critical_Role_Assign: Пользователю назначена критически важная роль в базе данных Elasticsearch hacking_tools: PT-CR-1947: Powermad_Usage: Использование утилиты Powermad для эксплуатации атрибутов учетных записей AD hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя kaspersky: PT-CR-1846: Kaspersky_Enable_User: Пользователь включил учетную запись kaspersky: PT-CR-1848: Kaspersky_Add_Role_To_User: Пользователь добавил новые права пользователю или группе zvirt: PT-CR-2819: ZVirt_Critical_Roles_Granted: Пользователь назначил критически важную роль учетной записи в системе виртуализации zVirt apache_cassandra_database: PT-CR-2087: Apache_Cassandra_Grant_All_Permissions: Попытка выдать роли максимальные привилегии. Это может быть действием злоумышленника с целью скрыть свою активность с помощью привилегированной учетной записи unix_mitre_attck_persistence: PT-CR-1673: Unix_Suspicious_Etc_Modify: Изменение системных файлов kontinent: PT-CR-2400: Kontinent_Account_Manipulation: Выполнено действие с учетной записью пользователя ресурса или администратора. Может свидетельствовать о попытке злоумышленника создать себе новую учетную запись или изменить свойства старой учетной записи, чтобы получить доступ к необходимым ресурсам сети или повысить привилегии. kontinent: PT-CR-2399: Kontinent_Role_Manipulation: Выполнено действие с ролью администратора. Злоумышленник может создавать, изменять или удалять роли администраторов, чтобы получить больше привилегий или лишить привилегий легитимных администраторов web_servers_abnormal_activity: PT-CR-1976: Web_Servers_Abnormal_Activity_Modify_User_Privileges: Злоумышленник может редактировать профили пользователей, чтобы изменить их привилегии active_directory_attacks: PT-CR-831: Computer_Delegation_Configured: В домене настроен один из видов делегирования: неограниченное делегирование, ограниченное делегирование или ограниченное делегирование на основе ресурсов. Злоумышленник может использовать эту настройку, чтобы получить TGT или TGS-билеты пользователей, повысить привилегии и горизонтально переместиться на другие узлы инфраструктуры active_directory_attacks: PT-CR-1344: Remote_Actions_With_Domain_Objects: Использован сценарий из набора PowerView. Злоумышленники используют инструмент PowerView для разведки в доменах Windows active_directory_attacks: PT-CR-1343: PowerViewPy_RBCD_Attack: В домене настроено ограниченное делегирование на основе ресурсов. Злоумышленник может использовать эту настройку для получения TGS-билета атакуемой учетной записи для доступа с правами администратора к серверу, предназначенному для функционирования сервиса. После этого злоумышленник может повысить привилегии и выполнить горизонтальное перемещение на другие узлы инфраструктуры active_directory_attacks: PT-CR-1984: Machine_Account_Quota_Changes: Пользователь изменил атрибут MS-DS-Machine-Account-Quota (количество учетных записей компьютеров, которые пользователь может создать в домене). Это может быть признаком создания новой учетной записи компьютера active_directory_attacks: PT-CR-3060: BadSuccessor_Attack: Возможная атака BadSuccessor. В свойства делегированной управляемой учетной записи службы (dMSA) добавлена ссылка на другую учетную запись. Учетная запись dMSA может быть специально создана, а затем удалена, чтобы скрыть следы вредоносной активности active_directory_attacks: PT-CR-654: SAM_Account_Name_Spoofing: Пользователь изменил SamAccountName объекта AD на несвойственное (наличие или отсутствие символа "$" в конце имени не соответствует типу объекта) или запросил TGT-билет от имени учетной записи, совпадающей с именем контроллера домена. Это может быть признаком атаки SamAccountName Spoofing, реализация которой позволит злоумышленникам повысить привилегии или провести атаку Targeted Timeroasting active_directory_attacks: PT-CR-1342: Subrule_PowerView_Objects_Actions: Удаленное изменение доменных объектов (доменные пользователи и группы, учетные записи компьютеров) с помощью инструмента PowerView (PowerViewPy) active_directory_attacks: PT-CR-653: AdminSDHolder_Modification_Attack: Добавлено значение в свойства контейнера AdminSDHolder, обновляющего разрешения защищенных объектов с определенной периодичностью. Это позволяет злоумышленнику получить привилегированный доступ и закрепиться в инфраструктуре active_directory_attacks: PT-CR-2298: Zerologon_Attack: Эксплуатация уязвимости CVE-2020-1472 (Zerologon), которая позволяет сменить пароль к учетной записи контроллера домена bitbucket: PT-CR-2701: Bitbucket_Important_Permission_Assign: Назначено важное разрешение в Bitbucket passwork: PT-CR-2614: Passwork_Admin_Role_Assignment: Пользователю назначена роль администратора в приложении Passwork. Это может быть действием злоумышленника с целью повысить привилегии или закрепиться в системе passwork: PT-CR-2608: Passwork_Critical_User_Manipulation: Пользователь выполнил подозрительное действие с учетной записью критически важного пользователя в менеджере паролей Passwork. К такими действиям относятся отзыв роли, сбор пароля, удаление пользователя. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы mitre_attck_persistence: PT-CR-1862: Add_User_To_Group: Попытка добавить пользователя в группу mitre_attck_persistence: PT-CR-2604: Unauthorized_Reset_Password_For_Sensitive_Users: Неожиданный сброс пароля критически важного пользователя. Это может быть признаком компрометации учетной записи пользователя mitre_attck_persistence: PT-CR-1348: RID_Hijacking_Persistence: Закрепление путем перехвата RID учетной записи mitre_attck_persistence: PT-CR-2499: KRBTGT_Delegation: Для учетной записи krbtgt настроено ограниченное делегирование на основе ресурсов. Это позволит злоумышленникам сгенерировать билет проверки подлинности (TGT) и закрепиться в системе mitre_attck_persistence: PT-CR-2594: Hidden_Account_Creation: Создана скрытая учетная запись с правами администратора с использованием нового раздела реестра с информацией о пользователе. Событие не зарегистрировано в журнале событий Windows mitre_attck_persistence: PT-CR-432: Critical_Domain_Group_User_Add: Пользователь добавлен в привилегированную доменную группу mitre_attck_persistence: PT-CR-1945: Machine_Account_Attribute_Manipulation: Изменен атрибут машинной учетной записи drweb: PT-CR-2069: DrWeb_Admin_Account_Modify: Выполнено действие с учетной записью администратора. Выполнение действий с учетной записью администратора может сохранить или расширить доступ к системам и привести к обходу политик безопасности enterprise_1c_and_bitrix: PT-CR-678: Enterprise_1C_Multiple_User_Unlock: Массовая разблокировка учетных записей enterprise_1c_and_bitrix: PT-CR-674: Enterprise_1C_Manipulate_User_With_Critical_Roles: Изменена или удалена учетная запись критически важного пользователя enterprise_1c_and_bitrix: PT-CR-675: Enterprise_1C_Multiple_User_Password_Change: Многократная смена пароля к одной и той же учетной записи security_code_secret_net_lsp: PT-CR-1887: SecretNet_LSP_Multiple_User_Password_Change: Многократная смена пароля одной и той же учетной записи security_code_secret_net_lsp: PT-CR-1890: SecretNet_LSP_User_Elevating: Повышение привилегий пользователя security_code_secret_net_lsp: PT-CR-1895: SecretNet_LSP_Manipulate_User_With_Critical_Roles: Изменение критически важной учетной записи vipnet_tias: PT-CR-2627: ViPNet_TIAS_Critical_User_Manipulation: Пользователь выполнил действие с учетной записью критически важного пользователя в системе ViPNet TIAS. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы mitre_attck_privilege_escalation: PT-CR-2656: Changing_UAC_Flags: Изменены критически важные атрибуты контроля учетных записей (userAccountControl) пользователя или узла mysql_database: PT-CR-624: MySQL_Permissions_Operation: Попытка изменить права учетной записи mysql_database: PT-CR-625: MySQL_User_Operation: Попытка изменить или удалить учетную запись пользователя indeed_pam: PT-CR-2895: Indeed_Important_PAM_Account_Actions: Пользователь выполнил действие с учетной записью критически важного пользователя в системе Indeed PAM. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы indeed_pam: PT-CR-2897: Indeed_Important_PAM_Host_Account_Actions: Пользователь выполнил действие с учетной записью критически важного пользователя на узле в системе Indeed PAM. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы indeed_pam: PT-CR-2894: Indeed_Important_PAM_User_Group_Actions: Пользователь выполнил действие с критически важной группой в системе Indeed PAM. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы indeed_pam: PT-CR-2887: Indeed_Important_Applications_Actions: Подозрительные действия с приложениями из списка критически важных в приложении Indeed PAM pt_ngfw: PT-CR-2935: NGFW_SAM_Account_Name_Spoofing: PT NGFW обнаружил запрос TGT-билета от имени учетной записи, совпадающей с именем контроллера домена network_devices_compromise: PT-CR-2284: ViPNet_Policy_Manager_User_Privileges_Modify: Изменены привилегии пользователя samba_active_directory_attacks: PT-CR-2586: SambaDC_Critical_Domain_Group_User_Add: Пользователь добавлен в привилегированную доменную группу. Атакующие могут добавить пользователя в критичные группы для повышения привилегий или закрепления на системе samba_active_directory_attacks: PT-CR-2585: SambaDC_Account_Attribute_Manipulation: Злоумышленники могут изменять атрибуты учетных записей для получения дополнительного доступа или закрепления в системе samba_active_directory_attacks: PT-CR-2589: SambaDC_Multiple_User_Password_Change: Многократная смена пароля пользователя microsoft_mecm: PT-CR-1875: MECM_Privileges_Escalation_Via_Role: Повышение привилегий для пользователя в MECM microsoft_mecm: PT-CR-1874: MECM_Not_Allowed_Operation_With_Roles: Попытка повысить привилегии с помощью ролей в MECM microsoft_mecm: PT-CR-1877: MECM_Create_New_Roles: Создание новой роли в MECM capabilities_account_manipulation: PT-CR-2879: CAP_User_Modified: Изменение учетной записи в прикладном ПО. Это может быть попыткой злоумышленника нарушить работу ПО, закрепиться в системе или повысить привилегии supply_chain: PT-CR-1778: SupplyChain_Maintainer_Or_Owner_Role_Assign: Назначение роли Maintainer или Owner supply_chain: PT-CR-1781: SupplyChain_Mass_Maintainer_Or_Owner_Role_Assign: Многократное назначение ролей Maintainer или Owner supply_chain: PT-CR-1935: SupplyChain_TeamCity_Modify_Group: Пользователь изменил состав или роль группы в TeamCity. Злоумышленники могут выполнять подобные действия для сохранения доступа mongo_database: PT-CR-530: MongoDB_Grant_High_Role: Попытка повысить привилегии учетной записи mssql_database: PT-CR-405: MSSQL_Administrator_Role_Manipulation: Попытка назначить роль администратора учетной записи mssql_database: PT-CR-417: MSSQL_Login_Configuration_Change: Попытка изменить настройки имени входа в базу данных microsoft_sharepoint: PT-CR-2109: Sharepoint_Grant_Critical_Role: Пользователю назначена критически важная роль для SharePoint microsoft_sharepoint: PT-CR-2115: Sharepoint_Grant_User_Access: Пользователь получил доступ на вход на сервер SharePoint postgresql_database: PT-CR-2334: PostgreSQL_Assignment_Sensitive_Privilege: Назначение чувствительных привилегий может привести к эскалации привилегий суперпользователя vulnerabilities: PT-CR-1369: Windows_Roaming_Credential_Used: Изменение LDAP-атрибутов msPKIAccountCredentials и msPKIRoamingTimestamp, которое свидетельствует об экплуатации уязвимости системы Windows Credential Roaming, позволяющей сделать запись в любой файл от имени пользователя-жертвы vulnerabilities: PT-CR-2199: CVE_2023_7028_Gitlab_Password_Reset: Эксплуатация уязвимости CVE-2023-7028 в Gitlab Community Edition и Enterprise Edition. Уязвимость позволяет доставлять письма о сбросе пароля учетной записи пользователя на непроверенные адреса электронной почты vmware_aria: PT-CR-2381: AOFL_User_Manage: Удаление или изменение нескольких учетных записей может свидетельствовать о попытке злоумышленника заблокировать доступ владельцам в Aria Operations for Logs vmware_aria: PT-CR-2368: Aria_Operations_Change_Admin_Password_Via_CLI: Изменение пароля администратора в Aria Operations из командной строки без указания старого пароля может свидетельствовать о попытке злоумышленника блокировать доступ владельцу и (или) получить доступ к данным Aria Operations vmware_aria: PT-CR-2380: Aria_Operations_User_Manage: Удаление или изменение нескольких учетных записей может свидетельствовать о попытке злоумышленника заблокировать доступ владельцам к Aria Operations zabbix: PT-CR-2054: Zabbix_User_Multiple_Password_Change: Пользователь многократно сменил пароль в системе Zabbix. Это может быть действием злоумышленника с целью закрепиться в системе zabbix: PT-CR-2050: Zabbix_Critical_Group_Manipulate: Пользователь выполнил действие с критически важной группой в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы zabbix: PT-CR-2051: Zabbix_Critical_User_Manipulate: Пользователь выполнил действие с учетной записью критически важного пользователя в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы zabbix: PT-CR-2048: Zabbix_User_Multiple_Unlock: Массовая разблокировка учетных записей в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии zabbix: PT-CR-2052: Zabbix_Critical_Role_Manipulate: Пользователь выполнил действие с критически важной ролью в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы freeipa: PT-CR-1958: FreeIPA_Multiple_User_Password_Change: Многократная смена пароля пользователя freeipa: PT-CR-1957: FreeIPA_User_Manipulate_With_Critical_User: Изменена учетная запись критически важного пользователя teleport: PT-CR-2535: Teleport_Critical_Role_Manipulation: Пользователь изменил или удалил критически важную роль в системе Teleport. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы teleport: PT-CR-2544: Teleport_Multiple_User_Modification: Пользователь изменил большое количество учетных записей пользователей за короткий промежуток времени. Это может быть действием злоумышленника с целью сделать недоступными системные и сетевые ресурсы или повысить привилегии teleport: PT-CR-2534: Teleport_Critical_User_Manipulation: Пользователь выполнил действие с учетной записью пользователя с критически важной ролью в системе Teleport. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы pt_nad: PT-CR-737: NAD_SAM_Account_Name_Spoofing: Пользователь запросил TGT-билет

Подтехники

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение подозрительных команд с аргументами, которые могут использоваться для изменения учетных записей и их настроек (включая такие файлы, как authorized_keys и /etc/ssh/sshd_config).

Отслеживайте выполнение подозрительных команд с аргументами (например, Add-MailboxPermission), которые могут указывать на изменение разрешений Exchange и параметров связанных служб.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте недавно созданные процессы, указывающие на изменение настроек учетных записей, в частности, процессы, которые модифицируют файл authorized_keys или /etc/ssh/sshd_config.

IDDS0026Источник и компонент данныхActive Directory: Изменение объекта Active DirectoryОписание

Отслеживайте регистрацию или присоединение объектов устройств в Active Directory. Уведомляйте о регистрации и присоединении новых устройств без прохождения MFA.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах, связанных с настройками учетных записей, включая /etc/ssh/sshd_config и файл authorized_keys для каждого пользователя системы.

IDDS0036Источник и компонент данныхГруппа: Изменение параметров группыОписание

Отслеживайте события с изменением объектов учетных записей и (или) разрешений в системах и домене, например события с идентификаторами 4738, 4728 и 4670.

IDDS0002Источник и компонент данныхУчетная запись пользователя: Изменения в учетной записиОписание

Собирайте журналы использования учетных записей и отслеживайте необычную активность при назначении ролей этим учетным записям. Отслеживайте учетные записи, имеющие назначенные роли с высокими привилегиями в кластере и не входящие в перечень известных администраторов.

Меры противодействия

IDM1030НазваниеСегментация сетиОписание

Настройте средства контроля доступа и брандмауэры, чтобы ограничить доступ к критическим системам и контроллерам домена. Большинство облачных сред поддерживают отдельные экземпляры виртуального частного облака (VPC), что позволяет еще больше сегментировать облачные системы.

IDM1018НазваниеУправление учетными записямиОписание

Проследите, чтобы у учетных записей с низким уровнем привилегий не было прав на выдачу разрешений учетным записям или обновление ролей для кластеров контейнеров.

IDM1032НазваниеМногофакторная аутентификацияОписание

Требуйте многофакторной аутентификации для учетных записей пользователей, интегрированных в контейнерные кластеры посредством облачных развертываний или протоколов аутентификации, таких как LDAP или SAML.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Не позволяйте использовать учетные записи администраторов домена для повседневных операций, которые могут подвергнуть их воздействию потенциальных злоумышленников в непривилегированных системах.

IDM1028НазваниеИзменение конфигурации ОСОписание

Защитите контроллеры домена, обеспечив надлежащую конфигурацию безопасности для критически важных серверов, чтобы ограничить доступ потенциально ненужных протоколов и служб, таких как обмен файлами через SMB.