MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1110: Метод перебора

Злоумышленники могут использовать различные методы перебора для получения доступа к учетным записям, когда пароли неизвестны или имеются только их хеш-значения. Злоумышленник, не знающий пароль учетной записи или группы учетных записей, может систематически итеративно пытаться подобрать этот пароль. Перебор паролей может осуществляться путем взаимодействия со службой, которая проверяет действительность этих учетных данных, или в автономном режиме по ранее полученным учетным данным, таким как хеши паролей.

Злоумышленники могут пытаться подобрать учетные данные на различных этапах взлома — например, чтобы получить доступ к существующим учетным записям в среде жертвы, используя данные, полученные в результате применения других посткомпрометационных техник, таких как Получение дампа учетных данных, Изучение учетных записей или Изучение парольной политики. При первоначальном доступе злоумышленники также могут сочетать перебор паролей с использованием техники Внешние службы удаленного доступа.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

bruteforce: PT-CR-1774: Reason_Account_Blocked: Учетная запись пользователя заблокирована

Подтехники

Способы обнаружения

IDDS0002Источник и компонент данныхУчетная запись пользователя: Аутентификация с помощью учетной записиОписание

Отслеживайте случаи с множеством неудачных попыток аутентификации в различных учетных записях, так как это может указывать на попытки распыления пароля.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения доступа к учетным записям методом перебора, когда пароли неизвестны или имеются только их хеш-значения.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте ошибки входа существующих учетных записей в систему или приложения в журналах аутентификации. По возможности отслеживайте следующие события: контроллеры домена — "Аудит входа в систему" (успех, отказ), событие с ИД 4625; контроллеры домена — "Аудит проверки подлинности Kerberos" (успех, отказ), событие с ИД 4771; все системы — "Аудит входа в систему" (успех, отказ), событие с ИД 4648.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Если известно, что данные учетной записи скомпрометированы, сбросьте ее немедленно либо сразу после обнаружения попыток подбора пароля.

IDM1036НазваниеПолитики использования учетных записейОписание

Установите политику блокировки учетных записей после определенного количества неудачных попыток входа в систему, чтобы предотвратить угадывание паролей. Слишком строгая политика может привести к отказу в обслуживании и сделать среду непригодной для использования, а все учетные записи, к которым подбирали пароль, будут заблокированы. Используйте политики условного доступа, чтобы блокировать вход с устройств, не соответствующих требованиям, или из-за пределов определенных диапазонов IP-адресов организации.

IDM1032НазваниеМногофакторная аутентификацияОписание

Используйте многофакторную аутентификацию. По возможности включите многофакторную аутентификацию на внешних сервисах.

IDM1027НазваниеПарольные политикиОписание

При создании политик паролей руководствуйтесь рекомендациями NIST.