T1110.003: Распыление пароля

Чтобы получить действительные учетные данные, злоумышленники могут использовать один пароль или небольшой список часто используемых паролей, пробуя их на большом количестве учетных записей. При распылении паролей используется один пароль (например, "Password01") или небольшой список часто используемых паролей, которые могут соответствовать политике сложности паролей домена. Попытки входа в систему с этим паролем предпринимаются через множество различных учетных записей в сети, чтобы избежать ситуации блокировки учетных записей, которая обычно возникает при переборе множества паролей для одной учетной записи .

Как правило, для распыления паролей злоумышленники подключаются к службам управления через часто используемые порты. В числе прочих для этого часто используются следующие службы:

SSH (22/TCP)
Telnet (23/TCP)
FTP (21/TCP)
NetBIOS/SMB/Samba (139/TCP и 445/TCP)
LDAP (389/TCP)
Kerberos (88/TCP)
RDP / службы терминалов (3389/TCP)
HTTP / службы управления HTTP (80/TCP и 443/TCP)
MSSQL (1433/TCP)
Oracle (1521/TCP)
MySQL (3306/TCP)
VNC (5900/TCP)

Помимо служб управления, злоумышленники могут атаковать приложения, использующие единый вход (SSO), и облачные приложения, использующие протоколы федеративной аутентификации, а также почтовые приложения с внешним интерфейсом, такие как Microsoft 365.

В стандартных средах попытки подключения LDAP и Kerberos по SMB реже инициируют событие Windows "сбой входа" с идентификатором 4625.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

sap_attack_detection: PT-CR-150: SAPASABAP_Bultin_Accounts_Probing: Попытки войти в систему под встроенными учетными записями bruteforce: PT-CR-994: Gitlab_Password_Spraying: Распыление пароля в системе контроля версий GitLab. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-2168: FreeIPA_Password_Spraying: Распыление пароля в домене FreeIPA. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-2509: Exchange_Password_Spraying: Распыление пароля в Exchange. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-2387: ADFS_Password_Spraying: Распыление пароля через службу AD FS. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-2575: IIS_Web_Application_Password_Spraying: Распыление пароля в веб-приложении веб-сервера IIS на узле Windows. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-1849: Mikrotik_RouterOS_Password_Spraying: Распыление пароля для сетевого устройства MikroTik. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-2364: Aria_Operations_Password_Spraying: Распыление пароля в Aria Operations. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-887: Windows_Password_Spraying: Распыление пароля на узле Windows. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-1025: Unix_SSH_Password_Spraying: Распыление пароля через SSH-подключение. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-2582: Citrix_NS_ADC_Password_Spraying: Распыление пароля в системе Citrix NetScaler ADC. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-1707: Password_Spraying: Распыление пароля в различных приложениях. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-2507: Exchange_IMAP_POP_Password_Spraying: Распыление пароля в Exchange по протоколу IMAP или POP. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-2365: AOFL_Password_Spraying: Распыление пароля в Aria Operations for Logs. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-1365: IIS_Password_Spraying: Распыление пароля на веб-сервере Internet Information Services. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-1337: OpenVPN_Password_Spraying: Распыление пароля в приложении OpenVPN. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-2122: Subrule_SSHGuard: Пользователь не смог войти в систему bruteforce: PT-CR-2517: Infowatch_TM_Password_Spraying: Распыление пароля в системе InfoWatch TM. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-2132: Hashicorp_Vault_Password_Spraying: Распыление пароля в системе Vault. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-906: LyncSmash_Use: Подбор учетных записей пользователей Skype с помощью утилиты LyncSmash bruteforce: PT-CR-1973: SSHGuard_Spraying: Распыление пароля. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-2320: Eltex_Password_Spraying: Распыление пароля для сетевого устройства Eltex. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-1944: MongoDB_Password_Spraying: Распыление пароля в базе данных MongoDB. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-992: Artifactory_Password_Spraying: Распыление пароля в системе хранения данных Artifactory. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-2420: NGate_Password_Spraying: Распыление пароля в панели управления CryptoPro NGate. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-2058: Zabbix_Password_Spraying: Распыление пароля в системе Zabbix. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-2464: ViPNet_IDS_Password_Spraying: Распыление пароля для устройства ViPNet IDS. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей bruteforce: PT-CR-2286: UEM_SafeMobile_Password_Spraying: Распыление пароля в системе контроля версий GitLab. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей active_directory_attacks: PT-CR-656: Failed_Network_Access_With_Unknown_User: Пользователь не смог войти на узел под управлением ОС Windows от имени отключенной или несуществующей учетной записи. Это может быть признаком перебора учетных записей или компрометации учетных данных

Способы обнаружения

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте ошибки входа существующих учетных записей в систему или приложения в журналах аутентификации. По возможности отслеживайте следующие события: контроллеры домена — аудит входа в систему (успех, отказ), событие с идентификатором 4625; контроллеры домена — аудит проверки подлинности Kerberos (успех, отказ), событие с идентификатором 4771; все системы — аудит входа в систему (успех, отказ), событие с идентификатором 4648.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Аутентификация с помощью учетной записи	Описание	Отслеживайте случаи со множеством неудачных попыток аутентификации в различных учетных записях, так как это может указывать на попытки распыления пароля.

ID	Источник и компонент данных	Описание
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте ошибки входа существующих учетных записей в систему или приложения в журналах аутентификации. По возможности отслеживайте следующие события: контроллеры домена — аудит входа в систему (успех, отказ), событие с идентификатором 4625; контроллеры домена — аудит проверки подлинности Kerberos (успех, отказ), событие с идентификатором 4771; все системы — аудит входа в систему (успех, отказ), событие с идентификатором 4648.
DS0002	Учетная запись пользователя: Аутентификация с помощью учетной записи	Отслеживайте случаи со множеством неудачных попыток аутентификации в различных учетных записях, так как это может указывать на попытки распыления пароля.

Меры противодействия

ID	M1027	Название	Парольные политики	Описание	При создании политик паролей руководствуйтесь рекомендациями NIST .

ID	M1036	Название	Политики использования учетных записей	Описание	Установите политику блокировки учетных записей после определенного количества неудачных попыток входа в систему, чтобы предотвратить подбор паролей. Однако учтите, что слишком строгая политика может привести к отказу в обслуживании и сделать среду непригодной для использования, так как все учетные записи, к которым пытались подобрать пароль, будут заблокированы. Используйте политики условного доступа, чтобы блокировать вход с устройств, которые не соответствуют требованиям или имеют IP-адреса вне диапазонов, определенных для организации.

ID	M1032	Название	Многофакторная аутентификация	Описание	Используйте многофакторную аутентификацию. По возможности включите многофакторную аутентификацию на внешних сервисах.

ID	Название	Описание
M1027	Парольные политики	При создании политик паролей руководствуйтесь рекомендациями NIST .
M1036	Политики использования учетных записей	Установите политику блокировки учетных записей после определенного количества неудачных попыток входа в систему, чтобы предотвратить подбор паролей. Однако учтите, что слишком строгая политика может привести к отказу в обслуживании и сделать среду непригодной для использования, так как все учетные записи, к которым пытались подобрать пароль, будут заблокированы. Используйте политики условного доступа, чтобы блокировать вход с устройств, которые не соответствуют требованиям или имеют IP-адреса вне диапазонов, определенных для организации.
M1032	Многофакторная аутентификация	Используйте многофакторную аутентификацию. По возможности включите многофакторную аутентификацию на внешних сервисах.