Техника на mitre.org

T1110.004: Подстановка украденных учетных данных

Чтобы получить доступ к нужной учетной записи, злоумышленники могут использовать учетные данные, полученные из дампов не связанных с ней учетных записей. Иногда в сеть попадает большое количество имен пользователей и их паролей — когда злоумышленники взламывают какой-либо сайт или сервис и получают доступ к учетным данным его пользователей. Эти данные могут оказаться полезными злоумышленникам, которые пытаются скомпрометировать учетные записи, пользуясь тем, что пользователи нередко используют одни и те же пароли для личных и рабочих учетных записей.

Подстановка украденных учетных данных может оказаться рискованным вариантом получения доступа, так как она может привести к многочисленным отказам в аутентификации и блокировке учетных записей в зависимости от политики организации в отношении неудачных попыток входа в систему.

Как правило, для подстановки украденных учетных данных злоумышленники подключаются к службам управления через часто используемые порты. В числе прочих для этого часто используются следующие службы:

SSH (22/TCP)
Telnet (23/TCP)
FTP (21/TCP)
NetBIOS/SMB/Samba (139/TCP и 445/TCP)
LDAP (389/TCP)
Kerberos (88/TCP)
RDP / службы терминалов (3389/TCP)
HTTP / службы управления HTTP (80/TCP и 443/TCP)
MSSQL (1433/TCP)
Oracle (1521/TCP)
MySQL (3306/TCP)
VNC (5900/TCP)

Помимо служб управления, злоумышленники могут атаковать приложения, использующие единый вход (SSO), и облачные приложения, использующие протоколы федеративной аутентификации, а также почтовые приложения с внешним интерфейсом, такие как Microsoft 365.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

bruteforce: PT-CR-1714: Windows_Ticket_Brute: Множество ошибок при попытках получить билет проверки подлинности Kerberos (TGT) bruteforce: PT-CR-887: Windows_Password_Spraying: Распыление пароля на узле Windows. Распыление пароля (password spraying) — это тип атаки методом перебора, в ходе которой злоумышленник перебирает наиболее популярные пароли последовательно для каждого пользователя, что позволяет избежать блокировки учетных записей атакуемых пользователей

Способы обнаружения

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте ошибки входа существующих учетных записей в систему или приложения в журналах аутентификации. Большое количество ошибок аутентификации может указывать на попытки злоумышленников подобрать легитимные учетные данные для получения доступа к системе.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Аутентификация с помощью учетной записи	Описание	Отслеживайте случаи со множеством неудачных попыток аутентификации в различных учетных записях, так как это может указывать на попытки подстановки украденных учетных данных.

ID	Источник и компонент данных	Описание
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте ошибки входа существующих учетных записей в систему или приложения в журналах аутентификации. Большое количество ошибок аутентификации может указывать на попытки злоумышленников подобрать легитимные учетные данные для получения доступа к системе.
DS0002	Учетная запись пользователя: Аутентификация с помощью учетной записи	Отслеживайте случаи со множеством неудачных попыток аутентификации в различных учетных записях, так как это может указывать на попытки подстановки украденных учетных данных.

Меры противодействия

ID	M1036	Название	Политики использования учетных записей	Описание	Установите политику блокировки учетных записей после определенного количества неудачных попыток входа в систему, чтобы предотвратить подбор паролей. Однако учтите, что слишком строгая политика может привести к отказу в обслуживании и сделать среду непригодной для использования, так как все учетные записи, к которым пытались подобрать пароль, будут заблокированы. Используйте политики условного доступа, чтобы блокировать вход с устройств, которые не соответствуют требованиям или имеют IP-адреса вне диапазонов, определенных для организации.

ID	M1027	Название	Парольные политики	Описание	При создании политик паролей руководствуйтесь рекомендациями NIST .

ID	M1018	Название	Управление учетными записями	Описание	Если известно, что данные для входа в учетную запись скомпрометированы, сбросьте ее немедленно либо сразу после обнаружения попыток подбора пароля.

ID	M1032	Название	Многофакторная аутентификация	Описание	Используйте многофакторную аутентификацию. По возможности включите многофакторную аутентификацию на внешних сервисах.

ID	Название	Описание
M1036	Политики использования учетных записей	Установите политику блокировки учетных записей после определенного количества неудачных попыток входа в систему, чтобы предотвратить подбор паролей. Однако учтите, что слишком строгая политика может привести к отказу в обслуживании и сделать среду непригодной для использования, так как все учетные записи, к которым пытались подобрать пароль, будут заблокированы. Используйте политики условного доступа, чтобы блокировать вход с устройств, которые не соответствуют требованиям или имеют IP-адреса вне диапазонов, определенных для организации.
M1027	Парольные политики	При создании политик паролей руководствуйтесь рекомендациями NIST .
M1018	Управление учетными записями	Если известно, что данные для входа в учетную запись скомпрометированы, сбросьте ее немедленно либо сразу после обнаружения попыток подбора пароля.
M1032	Многофакторная аутентификация	Используйте многофакторную аутентификацию. По возможности включите многофакторную аутентификацию на внешних сервисах.