T1201: Изучение парольной политики
Злоумышленники могут попытаться получить подробную информацию о парольной политике, используемой в корпоративной сети или облачной среде. Парольные политики — один из способов обеспечить использование сложных паролей, которые трудно угадать или взломать методом перебора. Используя эту информацию, злоумышленник может составить список распространенных паролей и начать атаки по словарю и (или) методом перебора, соответствующие данной политике (например: если минимальная длина пароля 8 символов, то не следует пробовать пароли типа "pass123", чтобы не допускать блокировки учетных записей; если максимальное число неверно введенных паролей, инициирующее блокировку, равно 6, не следует пробовать более 3–4 паролей на учетную запись).
В системах на базе Windows, Linux или macOS парольные политики можно задать и проверить с помощью различных команд и утилит, таких как net accounts (/domain), Get-ADDefaultDomainPasswordPolicy, chage -l <имя пользователя>, cat /etc/pam.d/common-password и pwpolicy getaccountpolicies. Для сбора сведений о парольных политиках, установленных на сетевом устройстве, злоумышленники могут также воспользоваться интерпретаторами командной строки сетевых устройств (например, командами show aaa и show aaa common-criteria policy all).
В облачных средах парольные политики могут быть определены с помощью доступных API, например операции GetAccountPasswordPolicy в AWS.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_discovery: PT-CR-1789: Unix_MsLDAPDump_Usage: Злоумышленники могут выгружать информацию из AD и использовать ее для развития атаки unix_mitre_attck_discovery: PT-CR-1680: Unix_Password_Policy_Discovery: Получение локальной парольной политики на Unix-узле unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор mitre_attck_discovery: PT-CR-324: Password_Policy_Discovery: Попытка получить доступ к подробной информации о политике паролей корпоративной сети. На основе этой информации злоумышленник может создать список общих паролей и запустить атаки по словарю или методом перебора, соответствующие политике mitre_attck_discovery: PT-CR-2117: Windows_Mass_Recon: Большое количество действий, связанных с разведкой на узле mitre_attck_discovery: PT-CR-1083: Ldapdomaindump_Queries: Информация из Active Directory выгружена с помощью ldapdomaindump
Способы обнаружения
| ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Метаданные учетной записи | Описание | Отслеживайте контекстные данные учетных записей, с помощью которых злоумышленники могут попытаться получить подробную информацию о парольной политике корпоративной сети или облачной среды. |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте команды с аргументами, которые могут использоваться для получения подробной информации о парольной политике, используемой в корпоративной сети или облачной среде. На сетевых устройствах отслеживайте выполнение команд в журналах аутентификации, авторизации и аудита (ААА), особенно их запуск неавторизованными пользователями или пользователями, которые обычно этого не делают. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут попытаться получить подробную информацию о парольной политике, используемой в корпоративной сети или облачной среде. |
|---|
Меры противодействия
| ID | M1027 | Название | Парольные политики | Описание | Проследите, чтобы были зарегистрированы только действительные фильтры паролей. DLL-библиотеки фильтра должны присутствовать в каталоге установки Windows (по умолчанию
|
|---|