MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1187: Принудительная аутентификация

Злоумышленники могут получить учетные данные, явно или неявно заставив пользователя автоматически предоставить данные аутентификации механизму, контролируемому атакующими.

Протокол Server Message Block (SMB) широко используется в сетях Windows для аутентификации и связи между системами при использовании общих файлов и ресурсов. При подключении системы на базе Windows к SMB-ресурсу она пытается автоматически выполнить аутентификацию и отправить удаленной системе аутентификационные данные текущего пользователя . Такой механизм обычно используется в корпоративных средах, чтобы пользователям не нужно было вводить учетные данные для доступа к сетевым ресурсам.

Кроме того, в системах Windows в качестве резервного протокола при блокировке или отказе SMB обычно используется протокол Web Distributed Authoring and Versioning (WebDAV). WebDAV является расширением HTTP и обычно работает через TCP-порты 80 и 443 .

Злоумышленники могут воспользоваться этой схемой, чтобы получить доступ к хешам учетных записей пользователей через принудительную аутентификацию SMB/WebDAV. Злоумышленник может отправить пользователю целевое фишинговое письмо с вложением, которое содержит ссылку на ресурс на внешнем сервере, контролируемом злоумышленником (техника Внедрение в шаблоны), или внедрить специально созданный файл в местоположение, доступное привилегированным учетным записям (например, разместить файл SCF на рабочем столе), или на общедоступный ресурс с тем, чтобы жертва могла попытаться получить доступ к этому файлу. Когда система пользователя обращается к недоверенному ресурсу, она пытается пройти аутентификацию и отправляет информацию (в том числе хешированные учетные данные пользователя) по протоколу SMB на сервер, контролируемый злоумышленником . Имея доступ к хешу учетных данных, злоумышленник может автономно взломать его методом перебора, чтобы получить доступ к учетным данным в открытом текстовом виде .

Реализовать эту технику можно по-разному . Вот некоторые варианты ее реального использования:

  • Документ, вложенный в целевое фишинговое письмо, который ссылается на ресурс, автоматически загружаемый при открытии этого документа (техника Внедрение в шаблоны). Например, документ может содержать запрос, подобный file[:]//[remote address]/Normal.dotm, для активации запроса SMB .
  • Модифицированный файл LNK или SCF, в котором путь к имени значка является внешней ссылкой, например \[remote address]\pic.png. Такая ссылка будет заставлять систему при каждом отображении значка загружать ресурс и таким образом снова собирать учетные данные .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-1075: Dangerous_Theme: Установлена потенциально вредоносная тема Windows, которая используется для кражи имен пользователей и хешей паролей
mitre_attck_cred_access: PT-CR-1204: Coerce_Auth: NTLM-хеш учетной записи компьютера перехвачен в результате принудительной аутентификации (Coerce-атаки)
mitre_attck_lateral_movement: PT-CR-784: Auth_Coerce_with_WebClient_Abuse: Обнаружено использование техник PetitPotam или PrinterBug, реализуемых с помощью службы WebClient, для принудительной авторизации на атакующем узле по протоколу HTTP (порт 80)
vulnerabilities: PT-CR-2297: CVE_2024_21413_Outlook_MonikerLink: Эксплуатация уязвимости CVE-2024-21413 в Outlook. Уязвимость позволяет злоумышленнику отправить жертве письмо с гиперссылкой на общий сетевой ресурс и обойти предупреждение Outlook при открытии письма. Это может быть использовано, чтобы выполнить произвольный код или получить NetNTLM-хеш пользователя
mitre_attck_cred_access: PT-CR-913: Subrule_Coerce_Auth: Обнаружена возможная принудительная аутентификация (Coerce-атака)
mitre_attck_cred_access: PT-CR-914: Subrule_Egress_System: Обнаружено подключение к атакующему узлу, что может быть признаком принудительной аутентификации (Coerce-атаки)
mitre_attck_cred_access: PT-CR-2348: SCF_or_URL_Forced_Authentication: Возможная принудительная аутентификация пользователя с помощью файлов с расширением .scf или .url. Такая аутентификация позволяет злоумышленникам получить NTLM-хеши паролей пользователей, которые откроют общий сетевой ресурс с этими файлами с помощью Проводника Windows. Злоумышленники могут использовать полученные хеши для таких атак, как Pass-the-Hash, либо подобрать пароли в открытом виде и использовать их для доступа к другим системам
mitre_attck_cred_access: PT-CR-2349: SCF_or_URL_File_Created: Возможная принудительная аутентификация пользователей с помощью файлов с расширением .scf или .url. Такая аутентификация позволяет злоумышленникам получить NTLM-хеши паролей пользователей, которые откроют локальную папку или общий сетевой ресурс с этими файлами с помощью Проводника Windows. Злоумышленники могут использовать полученные хеши для таких атак, как Pass-the-Hash, либо подобрать пароли в открытом виде и использовать их для доступа к другим системам
active_directory_attacks: PT-CR-837: KrbRelay_Usage: Возможное использование утилит KrbRelay или DavRelayUp, позволяющих использовать отсутствие подписи запросов LDAP для ретрансляции процесса аутентификации и получения TGS-билета для SPN учетной записи от имени администратора. После этого злоумышленник может повысить свои привилегии до локального администратора и выполнить вредоносный код на скомпрометированном узле
active_directory_attacks: PT-CR-2225: ADCS_CRL_Abusing: Подозрительная активность с использованием списка отозванных сертификатов (CRL). Используя доступ к CRL, злоумышленник может вынудить сервер центра сертификации пройти аутентификацию на удаленном сервере или получить возможность удаленного выполнения кода на сервере центра сертификации. Для работы правила необходимо заполнить табличный список "CRL_Publication_Time"
active_directory_attacks: PT-CR-2226: ADCS_Certify_Coerce: NTLM-хеш или TGT учетной записи сервера центра сертификации перехвачен в результате принудительной аутентификации (coerce-атаки). Это может привести к компрометации сервера центра сертификации и развитию атаки
pt_nad: PT-CR-2417: NAD_NTLM_to_External: PT NAD обнаружил отправку хеша Net-NTLM в интернет

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте попытки использования нетипичных файлов, с помощью которых злоумышленники могут попытаться собрать учетные данные во время отображения других файлов.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте SMB-трафик на TCP-портах 139 и 445, а также UDP-порте 137, и следите за трафиком WebDAV, который пытается выйти за пределы сети в неизвестные внешние системы. Если такие попытки обнаружены, изучите источники данных соответствующих конечных систем, чтобы выяснить первопричину.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах с расширениями .LNK и .SCF и других файлов в системах и виртуальных средах, которые содержат ссылки на ресурсы во внешних сетях.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы с расширениями .LNK и .SCF, а также другие файлы в системах и виртуальных средах, которые содержат ссылки на ресурсы во внешних сетях.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

При анализе внутреннего трафика отслеживайте необычный (по сравнению с базовым) трафик SMB между рабочими станциями. Во многих сетях такого трафика не должно быть, но это зависит от того, как настроены системы в сети и где расположены ресурсы.

Меры противодействия

IDM1027НазваниеПарольные политикиОписание

Используйте надежные пароли, чтобы повысить сложность взлома хешей учетных данных в случае их получения.

IDM1037НазваниеФильтрация сетевого трафикаОписание

Блокируйте SMB-трафик на выходе из корпоративной сети с помощью фильтрации на выходе или путем блокирования TCP-портов 139, 445 и UDP-порта 137. Фильтруйте или блокируйте трафик протокола WebDAV для выхода из сети. Если необходим доступ к внешним ресурсам через SMB и WebDAV, то трафик должен быть жестко ограничен с помощью разрешающих списков .