T1187: Принудительная аутентификация
Злоумышленники могут получить учетные данные, явно или неявно заставив пользователя автоматически предоставить данные аутентификации механизму, контролируемому атакующими.
Протокол Server Message Block (SMB) широко используется в сетях Windows для аутентификации и связи между системами при использовании общих файлов и ресурсов. При подключении системы на базе Windows к SMB-ресурсу она пытается автоматически выполнить аутентификацию и отправить удаленной системе аутентификационные данные текущего пользователя . Такой механизм обычно используется в корпоративных средах, чтобы пользователям не нужно было вводить учетные данные для доступа к сетевым ресурсам.
Кроме того, в системах Windows в качестве резервного протокола при блокировке или отказе SMB обычно используется протокол Web Distributed Authoring and Versioning (WebDAV). WebDAV является расширением HTTP и обычно работает через TCP-порты 80 и 443 .
Злоумышленники могут воспользоваться этой схемой, чтобы получить доступ к хешам учетных записей пользователей через принудительную аутентификацию SMB/WebDAV. Злоумышленник может отправить пользователю целевое фишинговое письмо с вложением, которое содержит ссылку на ресурс на внешнем сервере, контролируемом злоумышленником (техника Внедрение в шаблоны), или внедрить специально созданный файл в местоположение, доступное привилегированным учетным записям (например, разместить файл SCF на рабочем столе), или на общедоступный ресурс с тем, чтобы жертва могла попытаться получить доступ к этому файлу. Когда система пользователя обращается к недоверенному ресурсу, она пытается пройти аутентификацию и отправляет информацию (в том числе хешированные учетные данные пользователя) по протоколу SMB на сервер, контролируемый злоумышленником . Имея доступ к хешу учетных данных, злоумышленник может автономно взломать его методом перебора, чтобы получить доступ к учетным данным в открытом текстовом виде .
Реализовать эту технику можно по-разному . Вот некоторые варианты ее реального использования:
- Документ, вложенный в целевое фишинговое письмо, который ссылается на ресурс, автоматически загружаемый при открытии этого документа (техника Внедрение в шаблоны). Например, документ может содержать запрос, подобный
file[:]//[remote address]/Normal.dotm
, для активации запроса SMB . - Модифицированный файл LNK или SCF, в котором путь к имени значка является внешней ссылкой, например
\[remote address]\pic.png
. Такая ссылка будет заставлять систему при каждом отображении значка загружать ресурс и таким образом снова собирать учетные данные .
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-1075: Dangerous_Theme: Установлена потенциально вредоносная тема Windows, которая используется для кражи имен пользователей и хешей паролей
mitre_attck_cred_access: PT-CR-1204: Coerce_Auth: NTLM-хеш учетной записи компьютера перехвачен в результате принудительной аутентификации (Coerce-атаки)
mitre_attck_lateral_movement: PT-CR-784: Auth_Coerce_with_WebClient_Abuse: Обнаружено использование техник PetitPotam или PrinterBug, реализуемых с помощью службы WebClient, для принудительной авторизации на атакующем узле по протоколу HTTP (порт 80)
vulnerabilities: PT-CR-2297: CVE_2024_21413_Outlook_MonikerLink: Эксплуатация уязвимости CVE-2024-21413 в Outlook. Уязвимость позволяет злоумышленнику отправить жертве письмо с гиперссылкой на общий сетевой ресурс и обойти предупреждение Outlook при открытии письма. Это может быть использовано, чтобы выполнить произвольный код или получить NetNTLM-хеш пользователя
mitre_attck_cred_access: PT-CR-913: Subrule_Coerce_Auth: Обнаружена возможная принудительная аутентификация (Coerce-атака)
mitre_attck_cred_access: PT-CR-914: Subrule_Egress_System: Обнаружено подключение к атакующему узлу, что может быть признаком принудительной аутентификации (Coerce-атаки)
mitre_attck_cred_access: PT-CR-2348: SCF_or_URL_Forced_Authentication: Возможная принудительная аутентификация пользователя с помощью файлов с расширением .scf или .url. Такая аутентификация позволяет злоумышленникам получить NTLM-хеши паролей пользователей, которые откроют общий сетевой ресурс с этими файлами с помощью Проводника Windows. Злоумышленники могут использовать полученные хеши для таких атак, как Pass-the-Hash, либо подобрать пароли в открытом виде и использовать их для доступа к другим системам
mitre_attck_cred_access: PT-CR-2349: SCF_or_URL_File_Created: Возможная принудительная аутентификация пользователей с помощью файлов с расширением .scf или .url. Такая аутентификация позволяет злоумышленникам получить NTLM-хеши паролей пользователей, которые откроют локальную папку или общий сетевой ресурс с этими файлами с помощью Проводника Windows. Злоумышленники могут использовать полученные хеши для таких атак, как Pass-the-Hash, либо подобрать пароли в открытом виде и использовать их для доступа к другим системам
active_directory_attacks: PT-CR-837: KrbRelay_Usage: Возможное использование утилит KrbRelay или DavRelayUp, позволяющих использовать отсутствие подписи запросов LDAP для ретрансляции процесса аутентификации и получения TGS-билета для SPN учетной записи от имени администратора. После этого злоумышленник может повысить свои привилегии до локального администратора и выполнить вредоносный код на скомпрометированном узле
active_directory_attacks: PT-CR-2225: ADCS_CRL_Abusing: Подозрительная активность с использованием списка отозванных сертификатов (CRL). Используя доступ к CRL, злоумышленник может вынудить сервер центра сертификации пройти аутентификацию на удаленном сервере или получить возможность удаленного выполнения кода на сервере центра сертификации. Для работы правила необходимо заполнить табличный список "CRL_Publication_Time"
active_directory_attacks: PT-CR-2226: ADCS_Certify_Coerce: NTLM-хеш или TGT учетной записи сервера центра сертификации перехвачен в результате принудительной аутентификации (coerce-атаки). Это может привести к компрометации сервера центра сертификации и развитию атаки
pt_nad: PT-CR-2417: NAD_NTLM_to_External: PT NAD обнаружил отправку хеша Net-NTLM в интернет
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте попытки использования нетипичных файлов, с помощью которых злоумышленники могут попытаться собрать учетные данные во время отображения других файлов. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте SMB-трафик на TCP-портах 139 и 445, а также UDP-порте 137, и следите за трафиком WebDAV, который пытается выйти за пределы сети в неизвестные внешние системы. Если такие попытки обнаружены, изучите источники данных соответствующих конечных систем, чтобы выяснить первопричину. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах с расширениями .LNK и .SCF и других файлов в системах и виртуальных средах, которые содержат ссылки на ресурсы во внешних сетях. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы с расширениями .LNK и .SCF, а также другие файлы в системах и виртуальных средах, которые содержат ссылки на ресурсы во внешних сетях. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | При анализе внутреннего трафика отслеживайте необычный (по сравнению с базовым) трафик SMB между рабочими станциями. Во многих сетях такого трафика не должно быть, но это зависит от того, как настроены системы в сети и где расположены ресурсы. |
---|
Меры противодействия
ID | M1027 | Название | Парольные политики | Описание | Используйте надежные пароли, чтобы повысить сложность взлома хешей учетных данных в случае их получения. |
---|
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Блокируйте SMB-трафик на выходе из корпоративной сети с помощью фильтрации на выходе или путем блокирования TCP-портов 139, 445 и UDP-порта 137. Фильтруйте или блокируйте трафик протокола WebDAV для выхода из сети. Если необходим доступ к внешним ресурсам через SMB и WebDAV, то трафик должен быть жестко ограничен с помощью разрешающих списков . |
---|