T1110: Метод перебора
Злоумышленники могут использовать различные методы перебора для получения доступа к учетным записям, когда пароли неизвестны или имеются только их хеш-значения. Злоумышленник, не знающий пароль учетной записи или группы учетных записей, может систематически итеративно пытаться подобрать этот пароль. Перебор паролей может осуществляться путем взаимодействия со службой, которая проверяет действительность этих учетных данных, или в автономном режиме по ранее полученным учетным данным, таким как хеши паролей.
Злоумышленники могут пытаться подобрать учетные данные на различных этапах взлома — например, чтобы получить доступ к существующим учетным записям в среде жертвы, используя данные, полученные в результате применения других посткомпрометационных техник, таких как Получение дампа учетных данных, Изучение учетных записей или Изучение парольной политики. При первоначальном доступе злоумышленники также могут сочетать перебор паролей с использованием техники Внешние службы удаленного доступа.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
netflow: PT-CR-2921: Netflow_Potential_Bruteforce: Множественные попытки подключения по протоколу TCP к различным службам одного узла (FTP, SSH, Telnet, SMTP, HTTP, POP3, IMAP, HTTPS, SMB, SMTPS, SMTP Alternate, IMAPS, POP3S, SQL Server, Oracle, SMTP Alternate, MySQL, RDP, PostgreSQL, VNC, HTTP Alternate, HTTPS Alternate). Это может быть признаком атаки методом перебора bruteforce: PT-CR-1774: Reason_Account_Blocked: Учетная запись пользователя заблокирована
Подтехники
Способы обнаружения
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения доступа к учетным записям методом перебора, когда пароли неизвестны или имеются только их хеш-значения. |
|---|
| ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Аутентификация с помощью учетной записи | Описание | Отслеживайте случаи с множеством неудачных попыток аутентификации в различных учетных записях, так как это может указывать на попытки распыления пароля. |
|---|
| ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте ошибки входа существующих учетных записей в систему или приложения в журналах аутентификации. По возможности отслеживайте следующие события: контроллеры домена — "Аудит входа в систему" (успех, отказ), событие с ИД 4625; контроллеры домена — "Аудит проверки подлинности Kerberos" (успех, отказ), событие с ИД 4771; все системы — "Аудит входа в систему" (успех, отказ), событие с ИД 4648. |
|---|
Меры противодействия
| ID | M1018 | Название | Управление учетными записями | Описание | Если известно, что данные учетной записи скомпрометированы, сбросьте ее немедленно либо сразу после обнаружения попыток подбора пароля. |
|---|
| ID | M1027 | Название | Парольные политики | Описание | При создании политик паролей руководствуйтесь рекомендациями NIST. |
|---|
| ID | M1032 | Название | Многофакторная аутентификация | Описание | Используйте многофакторную аутентификацию. По возможности включите многофакторную аутентификацию на внешних сервисах. |
|---|
| ID | M1036 | Название | Политики использования учетных записей | Описание | Установите политику блокировки учетных записей после определенного количества неудачных попыток входа в систему, чтобы предотвратить угадывание паролей. Слишком строгая политика может привести к отказу в обслуживании и сделать среду непригодной для использования, а все учетные записи, к которым подбирали пароль, будут заблокированы. Используйте политики условного доступа, чтобы блокировать вход с устройств, не соответствующих требованиям, или из-за пределов определенных диапазонов IP-адресов организации. |
|---|