T1110: Метод перебора
Злоумышленники могут использовать различные методы перебора для получения доступа к учетным записям, когда пароли неизвестны или имеются только их хеш-значения. Злоумышленник, не знающий пароль учетной записи или группы учетных записей, может систематически итеративно пытаться подобрать этот пароль. Перебор паролей может осуществляться путем взаимодействия со службой, которая проверяет действительность этих учетных данных, или в автономном режиме по ранее полученным учетным данным, таким как хеши паролей.
Злоумышленники могут пытаться подобрать учетные данные на различных этапах взлома — например, чтобы получить доступ к существующим учетным записям в среде жертвы, используя данные, полученные в результате применения других посткомпрометационных техник, таких как Получение дампа учетных данных, Изучение учетных записей или Изучение парольной политики. При первоначальном доступе злоумышленники также могут сочетать перебор паролей с использованием техники Внешние службы удаленного доступа.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
bruteforce: PT-CR-1774: Reason_Account_Blocked: Учетная запись пользователя заблокирована
Подтехники
Способы обнаружения
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Аутентификация с помощью учетной записи | Описание | Отслеживайте случаи с множеством неудачных попыток аутентификации в различных учетных записях, так как это может указывать на попытки распыления пароля. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения доступа к учетным записям методом перебора, когда пароли неизвестны или имеются только их хеш-значения. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте ошибки входа существующих учетных записей в систему или приложения в журналах аутентификации. По возможности отслеживайте следующие события: контроллеры домена — "Аудит входа в систему" (успех, отказ), событие с ИД 4625; контроллеры домена — "Аудит проверки подлинности Kerberos" (успех, отказ), событие с ИД 4771; все системы — "Аудит входа в систему" (успех, отказ), событие с ИД 4648. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Если известно, что данные учетной записи скомпрометированы, сбросьте ее немедленно либо сразу после обнаружения попыток подбора пароля. |
---|
ID | M1036 | Название | Политики использования учетных записей | Описание | Установите политику блокировки учетных записей после определенного количества неудачных попыток входа в систему, чтобы предотвратить угадывание паролей. Слишком строгая политика может привести к отказу в обслуживании и сделать среду непригодной для использования, а все учетные записи, к которым подбирали пароль, будут заблокированы. Используйте политики условного доступа, чтобы блокировать вход с устройств, не соответствующих требованиям, или из-за пределов определенных диапазонов IP-адресов организации. |
---|
ID | M1032 | Название | Многофакторная аутентификация | Описание | Используйте многофакторную аутентификацию. По возможности включите многофакторную аутентификацию на внешних сервисах. |
---|
ID | M1027 | Название | Парольные политики | Описание | При создании политик паролей руководствуйтесь рекомендациями NIST. |
---|