T1110.001: Угадывание пароля

Злоумышленники, не имеющие предварительных сведений о легитимных учетных данных системы или среды, могут попытаться подобрать пароли, чтобы получить доступ к учетным записям. Злоумышленник, не знающий пароль учетной записи, может систематически итеративно пытаться подобрать этот пароль. Злоумышленник, не знающий пароли системы или среды, может попытаться подобрать пароли по ходу операции, используя список распространенных паролей. При подборе пароля может учитываться либо не учитываться политика надежности паролей или политика использования паролей, блокирующая учетные записи после нескольких неудачных попыток ввода пароля.

Подбор паролей может оказаться рискованным вариантом получения доступа, так как он может привести к многочисленным отказам в аутентификации и даже к блокировке учетных записей в зависимости от политики организации в отношении неудачных попыток входа в систему .

Как правило, для подбора паролей злоумышленники подключаются к службам управления через часто используемые порты. В числе прочих для этого часто используются следующие службы:

SSH (22/TCP)
Telnet (23/TCP)
FTP (21/TCP)
NetBIOS/SMB/Samba (139/TCP и 445/TCP)
LDAP (389/TCP)
Kerberos (88/TCP)
RDP / службы терминалов (3389/TCP)
HTTP / службы управления HTTP (80/TCP и 443/TCP)
MSSQL (1433/TCP)
Oracle (1521/TCP)
MySQL (3306/TCP)
VNC (5900/TCP)
SNMP (161/UDP и 162/TCP/UDP)

Помимо служб управления, злоумышленники могут атаковать приложения, использующие единый вход (SSO), и облачные приложения, использующие протоколы федеративной аутентификации, а также почтовые приложения с внешним интерфейсом, такие как Microsoft 365. Кроме того, злоумышленники могут использовать интерфейсы сетевых устройств (например, wlanAPI) для атак методом перебора паролей на доступные Wi-Fi-маршрутизаторы через протоколы беспроводной аутентификации.

В стандартных средах попытки подключения LDAP и Kerberos по SMB реже инициируют событие Windows "сбой входа" с идентификатором 4625.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

enterprise_1c_and_bitrix: PT-CR-679: Enterprise_1C_User_Locked_Too_Many_Logons: Пользователь заблокирован после нескольких неудачных попыток входа pt_application_firewall: PT-CR-1911: PTAF_Bulk_Failed_Logins: Приложение PT AF обнаружило множество неудачных попыток аутентификации pt_application_firewall: PT-CR-2079: PTAF_BruteForce_Detected: Приложение PT AF заблокировало атаку методом перебора на веб-приложение it_bastion: PT-CR-2174: SKDPUNT_Login_Failure: Зарегистрирован инцидент об ошибках аутентификации в СКДПУ НТ sap_attack_detection: PT-CR-149: SAPASABAP_Account_Bruteforce: Подбор пароля учетной записи network_devices_abnormal_activity: PT-CR-627: Possible_SNMP_Bruteforce_Different_Hosts: Возможный перебор SNMP community string network_devices_abnormal_activity: PT-CR-474: Possible_SNMP_Bruteforce_Single_Host: Возможный перебор SNMP community string zabbix: PT-CR-2047: Zabbix_Logon_Same_User_From_Different_Terminals: Пользователь несколько раз вошел в систему Zabbix c разных узлов. Это может быть действием злоумышленника с целью повысить привилегии freeipa: PT-CR-1960: FreeIPA_User_Locked_Too_Many_Logons: Пользователь заблокирован после нескольких неудачных попыток входа в систему sap_java_suspicious_user_activity: PT-CR-537: SAPASJAVA_Failed_Logon_Of_Same_User_From_Different_Terminals: Обнаружено несколько попыток входа с разных терминалов bruteforce: PT-CR-2169: FreeIPA_Password_Brute: Подбор пароля в домене FreeIPA bruteforce: PT-CR-2390: Arista_EOS_Password_Brute: Подбор пароля к учетным записям для сетевого устройства Arista bruteforce: PT-CR-2092: Apache_cassandra_password_brute: Подбор пароля к учетным записям Apache Cassandra bruteforce: PT-CR-995: TeamPass_Password_Brute: Подбор пароля к учетным записям в приложении TeamPass bruteforce: PT-CR-2581: Citrix_NS_ADC_Password_Brute: Подбор пароля к учетным записям в системе Citrix NetScaler ADC bruteforce: PT-CR-2574: IIS_Web_Application_Password_Brute: Подбор пароля к учетным записям веб-приложений веб-сервера IIS на узле Windows bruteforce: PT-CR-993: Gitlab_Password_Brute: Подбор пароля к учетным записям в системе контроля версий GitLab bruteforce: PT-CR-886: Windows_Password_Brute: Подбор пароля к учетным записям на узле Windows bruteforce: PT-CR-2363: AOFL_Password_Bruteforce: Подбор пароля в Aria Operations for Logs bruteforce: PT-CR-2710: Postfix_SASL_Brute: Подбор пароля к учетным записям в Postfix bruteforce: PT-CR-1708: Password_Brute: Подбор пароля к учетным записям в различных приложениях bruteforce: PT-CR-1923: PTAF_Password_Brute: Подбор пароля к учетным записям в приложении PT AF bruteforce: PT-CR-1024: Unix_SSH_Password_Brute: Подбор пароля к учетным записям через SSH-подключение bruteforce: PT-CR-2122: Subrule_SSHGuard: Пользователь не смог войти в систему bruteforce: PT-CR-1714: Windows_Ticket_Brute: Множество ошибок при попытках получить билет проверки подлинности Kerberos bruteforce: PT-CR-1968: SSHGuard_Bruteforce: Подбор пароля к учетной записи bruteforce: PT-CR-1992: Multifactor_2FA_Password_Bruteforce: Подбор пароля для подтверждения второго фактора аутентификации bruteforce: PT-CR-2071: DrWeb_Password_Brute: Подбор пароля к учетным записям для входа на сервер управления Dr.Web bruteforce: PT-CR-1002: MSSQL_Password_Brute: Подбор пароля к учетным записям в приложении Microsoft SQL Server bruteforce: PT-CR-2326: Grafana_Password_Brute: Подбор пароля к учетной записи в системе Grafana bruteforce: PT-CR-2419: NGate_Password_Brute: Подбор пароля к учетным записям в панели управления CryptoPro NGate bruteforce: PT-CR-991: Artifactory_Password_Brute: Подбор пароля к учетным записям в системе хранения данных Artifactory bruteforce: PT-CR-2367: Aria_Operations_Admin_Panel_Password_Bruteforce: Подбор паролей в интерфейсе администрирования Aria Operations bruteforce: PT-CR-1710: Cisco_FW_Password_Brute: Подбор пароля к учетным записям для межсетевого экрана Cisco bruteforce: PT-CR-2518: Infowatch_TM_Password_Brute: Подбор пароля к учетным записям в системе InfoWatch TM bruteforce: PT-CR-2319: Eltex_Password_Brute: Подбор пароля к учетным записям для сетевого устройства Eltex bruteforce: PT-CR-2285: UEM_SafeMobile_Password_Brute: Подбор пароля к учетным записям в системе UEM SafeMobile bruteforce: PT-CR-1011: Bruteforce_Sensitive_Users: Подбор пароля к чувствительным учетным записям из табличного списка Sensitive_Users bruteforce: PT-CR-2240: Acronis_Password_Brute: Подбор пароля к учетным записям в программе для резервного копирования и восстановления данных Acronis bruteforce: PT-CR-2386: ADFS_Password_Brute: Подбор пароля к доменным учетным записям при доступе к веб-приложениям, интегрированным со службой федерации Active Directory (AD FS) bruteforce: PT-CR-2016: SecretNet_Password_Brute: Подбор пароля к учетным записям в различных приложениях bruteforce: PT-CR-1943: MongoDB_Password_Brute: Подбор пароля к учетным записям на сервере MongoDB bruteforce: PT-CR-2510: Exchange_Password_Brute: Подбор пароля к учетным записям Exchange bruteforce: PT-CR-1823: PostgreSQL_Password_Brute: Подбор пароля к учетным записям в базе данных PostgreSQL. В случае успеха хранящиеся в базе данные могут быть скомпрометированы bruteforce: PT-CR-1709: Cisco_IOS_Password_Brute: Подбор пароля к учетным записям для сетевого устройства Cisco bruteforce: PT-CR-2366: Aria_Operations_Password_Bruteforce: Подбор пароля в Aria Operations bruteforce: PT-CR-1850: Mikrotik_RouterOS_Password_Brute: Подбор пароля к учетным записям для сетевого устройства MikroTik bruteforce: PT-CR-2057: Zabbix_Password_Brute: Подбор пароля к учетной записи в системе Zabbix bruteforce: PT-CR-2131: Hashicorp_Vault_Password_Brute: Подбор пароля к учетной записи в системе Vault bruteforce: PT-CR-1338: OpenVPN_Password_Brute: Подбор пароля к учетным записям в приложении OpenVPN bruteforce: PT-CR-2506: Exchange_IMAP_POP_Password_Brute: Подбор пароля к учетным записям Exchange по протоколу IMAP или POP bruteforce: PT-CR-2463: ViPNet_IDS_Password_Brute: Подбор пароля к учетным записям для устройства ViPNet IDS active_directory_attacks: PT-CR-656: Failed_Network_Access_With_Unknown_User: Пользователь не смог войти на узел под управлением ОС Windows от имени отключенной или несуществующей учетной записи. Это может быть признаком перебора учетных записей или компрометации учетных данных redis: PT-CR-1989: Redis_Bruteforce: Подбор пароля на сервере Redis

Способы обнаружения

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Аутентификация с помощью учетной записи	Описание	Отслеживайте случаи со множеством неудачных попыток аутентификации в различных учетных записях, так как это может указывать на попытки подбора пароля.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте ошибки входа существующих учетных записей в систему или приложения в журналах аутентификации. Большое количество ошибок аутентификации может указывать на попытки злоумышленников подобрать легитимные учетные данные для получения доступа к системе.

ID	Источник и компонент данных	Описание
DS0002	Учетная запись пользователя: Аутентификация с помощью учетной записи	Отслеживайте случаи со множеством неудачных попыток аутентификации в различных учетных записях, так как это может указывать на попытки подбора пароля.
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте ошибки входа существующих учетных записей в систему или приложения в журналах аутентификации. Большое количество ошибок аутентификации может указывать на попытки злоумышленников подобрать легитимные учетные данные для получения доступа к системе.

Меры противодействия

ID	M1051	Название	Обновление ПО	Описание	Обновите службы управления до последней поддерживаемой и совместимой версии. Эта версия должна обеспечивать повышенную сложность паролей или применение политики, предотвращающей использование паролей по умолчанию или слабых паролей.

ID	M1032	Название	Многофакторная аутентификация	Описание	Используйте многофакторную аутентификацию. По возможности включите многофакторную аутентификацию на внешних сервисах.

ID	M1027	Название	Парольные политики	Описание	При создании политик паролей руководствуйтесь рекомендациями NIST .

ID	M1036	Название	Политики использования учетных записей	Описание	Установите политику блокировки учетных записей после определенного количества неудачных попыток входа в систему, чтобы предотвратить подбор паролей. Однако учтите, что слишком строгая политика может привести к отказу в обслуживании и сделать среду непригодной для использования, так как все учетные записи, к которым пытались подобрать пароль, будут заблокированы. Используйте политики условного доступа, чтобы блокировать вход с устройств, которые не соответствуют требованиям или имеют IP-адреса вне диапазонов, определенных для организации.

ID	Название	Описание
M1051	Обновление ПО	Обновите службы управления до последней поддерживаемой и совместимой версии. Эта версия должна обеспечивать повышенную сложность паролей или применение политики, предотвращающей использование паролей по умолчанию или слабых паролей.
M1032	Многофакторная аутентификация	Используйте многофакторную аутентификацию. По возможности включите многофакторную аутентификацию на внешних сервисах.
M1027	Парольные политики	При создании политик паролей руководствуйтесь рекомендациями NIST .
M1036	Политики использования учетных записей	Установите политику блокировки учетных записей после определенного количества неудачных попыток входа в систему, чтобы предотвратить подбор паролей. Однако учтите, что слишком строгая политика может привести к отказу в обслуживании и сделать среду непригодной для использования, так как все учетные записи, к которым пытались подобрать пароль, будут заблокированы. Используйте политики условного доступа, чтобы блокировать вход с устройств, которые не соответствуют требованиям или имеют IP-адреса вне диапазонов, определенных для организации.