T1111: Перехват многофакторной аутентификации
Злоумышленники могут взаимодействовать с механизмами многофакторной аутентификации (MFA), например смарт-картами или генераторами токенов, для получения учетных данных, которые могут быть использованы для доступа к системам, службам и сетевым ресурсам. Использовать MFA-системы рекомендуется, так как они обеспечивают более высокий уровень безопасности, чем использование только имен пользователей и паролей, однако следует знать и о техниках, которые могут использоваться для перехвата и обхода этих механизмов защиты.
Если для многофакторной аутентификации используется смарт-карта, то для получения пароля смарт-карты при обычном ее использовании нужен кейлоггер. При наличии вставленной смарт-карты и доступа к ее паролю злоумышленник может подключиться к сетевому ресурсу, используя зараженную систему для проксирования аутентификации с использованием вставленного аппаратного токена .
Злоумышленники могут использовать кейлоггеры и для других аппаратных токенов, таких как RSA SecurID. При перехвате входных данных токена (включая персональный идентификационный код пользователя) злоумышленники могут обеспечить себе временный доступ (путем воспроизведения одноразового кода до замены его следующим), а также, возможно, надежно предсказать будущие значения аутентификационных кодов (при наличии доступа к алгоритму и любым начальным значениям, используемым для генерации дальнейших временных кодов) .
Другие методы MFA также могут быть перехвачены и использованы злоумышленниками для аутентификации. Зачастую одноразовые коды отправляются по внешним каналам связи (электронная почта, SMS). Если устройство и (или) служба не защищены, они могут быть уязвимы для перехвата данных. Поставщики служб также могут стать объектом атаки: злоумышленник может, например, скомпрометировать службу передачи SMS-сообщений, чтобы украсть коды MFA, отправленные на телефоны пользователей.
Способы обнаружения
ID | DS0027 | Источник и компонент данных | Драйвер: Загрузка драйвера | Описание | Отслеживать аутентификацию с помощью смарт-карты через прокси-сервер злоумышленников может быть сложно, так как для этого токен должен быть физически вставлен в систему. Скорее всего, токен уже используется легитимным пользователем, и трафик злоумышленника не будет заметен на фоне обычного. Как и в случае с техникой Перехвата вводимых данных, ряд методов регистрации нажатий клавиш подразумевают установку драйвера злоумышленниками. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, которые могут использоваться для опроса клавиатуры с целью перехвата нажатий клавиш. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в ключах и значениях реестра Windows, с помощью которых злоумышленники могут взаимодействовать с механизмами многофакторной аутентификации (например, смарт-картами) для получения учетных данных, которые могут быть использованы для доступа к системам, службам и сетевым ресурсам. |
---|
Меры противодействия
ID | M1017 | Название | Обучение пользователей | Описание | Извлекайте смарт-карты, когда не используете их. |
---|