T1110.002: Взлом пароля
Если получены хеши паролей, злоумышленники могут применять технику взлома паролей, пытаясь получить нужные учетные данные, например пароли в открытом текстовом виде. Для получения хешей паролей может использоваться техника Получение дампа учетных данных, однако ее применение может быть нерезультативным, если применить технику Передача хеша (Pass the Hash) невозможно. Кроме того, злоумышленники могут использовать технику Данные из репозитория конфигураций для получения хешированных учетных данных для сетевых устройств.
Существуют методы систематического подбора паролей по известным хешам, либо злоумышленник может использовать заранее вычисленную радужную таблицу для взлома хешей. Взлом хешей обычно осуществляется на системах, контролируемых противником, за пределами атакуемой сети. Пароль в открытом текстовом виде, полученный в результате успешного взлома хеша, может быть использован для получения доступа к системам, ресурсам и сервисам, доступным соответствующей учетной записи.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD автоматически извлекает данные учетных записей во множестве протоколов (например, в HTTP, FTP, Kerberos, NTLM, протоколах баз данных, RDP), в большинстве случаев определяя успешность аутентификации. Благодаря этому он способен обнаруживать как атаки перебора, в том числе распыление паролей (при помощи модулей ленты активностей), так и использование слабых или словарных паролей в сети. Кроме того, для детектирования атак методом перебора (в том числе распыления пароля) в некоторых сервисах существуют правила обнаружения.
Примеры правил обнаружения PT NAD
- TOOLS [PTsecurity] RDP bruteforce by xfreerdp-like tool (7 in a minute) (sid 10006256)
- LOGIN [PTsecurity] Wordpress Login BruteForce (30 attempts in 10 mins) (sid 10003141)
Примеры модулей обнаружения PT NAD
- Использование словарных паролей
- Брутфорс и спреинг паролей
Способы обнаружения
| ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Аутентификация с помощью учетной записи | Описание | Отслеживайте случаи со множеством неудачных попыток аутентификации в различных учетных записях, так как это может указывать на попытки распыления пароля. Обнаружить взлом хешей довольно сложно, поскольку обычно он происходит за пределами атакуемой сети (например, события журнала Windows с идентификаторами 4625 или 5379). |
|---|
| ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте ошибки входа существующих учетных записей в систему или приложения в журналах аутентификации. Обнаружить взлом хешей довольно сложно, поскольку обычно он происходит за пределами атакуемой сети. По возможности отслеживайте и другие действия злоумышленников, направленные на извлечение учетных данных, например применение таких техник, как Получение дампа учетных данных или Керберостинг. |
|---|
Меры противодействия
| ID | M1027 | Название | Парольные политики | Описание | При создании политик паролей руководствуйтесь рекомендациями NIST . |
|---|
| ID | M1032 | Название | Многофакторная аутентификация | Описание | Используйте многофакторную аутентификацию. По возможности включите многофакторную аутентификацию на внешних сервисах. |
|---|