T1098.005: Регистрация устройства
Злоумышленники могут зарегистрировать устройство на контролируемую ими учетную запись. Устройства могут быть зарегистрированы в системе многофакторной аутентификации (MFA), которая обеспечивает аутентификацию в сети, или в системе управления устройствами, которая обеспечивает доступ к устройствам и соответствие требованиям.
MFA-системы, такие как Duo или Okta, позволяют пользователям привязывать устройства к своим учетным записям для выполнения требований MFA. Злоумышленник, скомпрометировавший учетные данные пользователя, может зарегистрировать новое устройство, чтобы обойти первоначальные требования MFA и получить постоянный доступ к сети. В некоторых случаях для самостоятельной регистрации в системе с MFA первого устройства в учетной записи или устройства в неактивной учетной записи могут требоваться только имя пользователя и пароль .
Аналогичным образом злоумышленник, имеющий доступ к сети, может зарегистрировать устройство в Azure AD и (или) системе управления устройствами Microsoft Intune, чтобы получить доступ к конфиденциальным данным или ресурсам в обход политик условного доступа.
С помощью устройств, зарегистрированных в Azure AD, можно проводить кампании внутреннего целевого фишинга, рассылая внутри организации электронные письма, которые с меньшей вероятностью будут восприняты почтовым клиентом как подозрительные. Кроме того, злоумышленник может использовать технику исчерпания ресурсов служб на тенанте Azure AD, зарегистрировав большое количество устройств.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
— Мониторинг событий с идентификатором 5137 (Microsoft-Windows-Security-Auditing). — Мониторинг событий с идентификаторами 4103 и 4104 (Microsoft-Windows-PowerShell/Operational), в которых запускаются командлеты Join-AADIntDeviceToAzureAD и Join-AADIntOnPremDeviceToAzureAD (из модуля AADInternals)
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
| ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | При регистрации новых устройств в Azure AD в журнале создается несколько записей, которые можно проверить на предмет регистрации подозрительных устройств. Кроме того, список подключенных устройств можно увидеть на портале Azure AD. |
|---|
| ID | DS0026 | Источник и компонент данных | Active Directory: Создание объекта Active Directory | Описание | Отслеживайте регистрацию или присоединение объектов устройств в Active Directory. Уведомляйте о регистрации и присоединении новых устройств без прохождения MFA. |
|---|
| ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Изменения в учетной записи | Описание | Отслеживайте учетные записи пользователей, имеющие новые и подозрительные привязки к устройствам, например, из необычных мест, в необычное время или после подозрительного входа в систему. |
|---|
Меры противодействия
| ID | M1032 | Название | Многофакторная аутентификация | Описание | Требуйте многофакторную аутентификацию для регистрации устройств в Azure AD. Настройте системы многофакторной аутентификации, чтобы запретить регистрацию новых устройств для неактивных учетных записей. При первом внедрении MFA используйте политики условного доступа, чтобы ограничить регистрацию устройств доверенными местами или устройствами, и по возможности используйте временные пропуски доступа в качестве первоначального решения MFA для регистрации устройства. |
|---|