T1212: Эксплуатация уязвимостей для получения учетных данных

Злоумышленники могут эксплуатировать уязвимости в ПО для получения учетных данных. Эксплуатацией уязвимостей в программном обеспечении называют использование злоумышленниками ошибок программирования в приложении, службе или операционной системе, включая ядро, для выполнения своего кода. 

Злоумышленники могут эксплуатировать уязвимости механизмов создания и аутентификации учетных записей для получения полезных учетных данных или аутентификации в системах в обход легитимного процесса. Одна из таких уязвимостей, MS14-068, была обнаружена в протоколе Kerberos; она позволяла создавать поддельные билеты доступа с использованием доменных учетных записей, обладающих определенными разрешениями. Другим примером являются атаки повторного воспроизведения, во время которых злоумышленник перехватывает пакеты данных, которыми обмениваются стороны, и затем воспроизводит их. Если службы проверяют запросы на аутентификацию недостаточно тщательно, злоумышленник может воспользоваться воспроизведенными пакетами, чтобы выдать себя за одну из сторон и получить несанкционированный доступ или права.

Подобные атаки проводились и в облачных средах. В одной из таких атак злоумышленники эксплуатировали уязвимости в публичной облачной инфраструктуре для создания и обновления произвольных токенов аутентификации.

При эксплуатации уязвимостей для получения учетных данных злоумышленники также могут повысить уровень привилегий — наличие такой возможности зависит от целевого процесса и полученных учетных данных.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vulnerabilities: PT-CR-2659: CVE_2024_38200_Office_NTLM_Relay: Эксплуатация уязвимости CVE-2024-38200 в приложении Microsoft Office. Это может быть признаком атаки NTLM relay после того, как пользователь откроет специально созданный документ по ссылке, отправленной злоумышленником, и выполнит NTLM-аутентификацию vulnerabilities: PT-CR-2293: CVE_2024_27198_TeamCity_Authentication_Bypass: Эксплуатация уязвимости CVE-2024-27198 в TeamCity. Уязвимость позволяет злоумышленнику обойти процесс аутентификации, чтобы создать нового пользователя TeamCity с правами администратора или токен доступа для пользователя. Это может быть использовано для удаленного выполнения команд vulnerabilities: PT-CR-1376: Export_KeePass_Credentials: В конфигурационный файл KeePass внесены изменения, которые могут спровоцировать выгрузку базы данных с паролями в открытом виде sap_suspicious_user_activity: PT-CR-233: SAPASABAP_Debug_Auth_Check: Обход процедуры авторизации через режим отладки active_directory_attacks: PT-CR-2298: Zerologon_Attack: Эксплуатация уязвимости CVE-2020-1472 (Zerologon), которая позволяет сменить пароль к учетной записи контроллера домена

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте создание аномальных процессов, например запуск интерпретаторов командной строки и сценариев из приложения, которое может являться объектом эксплуатации. Также отслеживайте активность, которая может указывать на компрометацию системы, например аномальную активность процессов.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Обнаружить эксплуатацию ПО бывает непросто — эффективность зависит от доступных вам инструментов. Эксплуатация ПО не всегда проходит успешно и может привести к нестабильности или сбою в работе эксплуатируемого процесса.

IDDS0002Источник и компонент данныхУчетная запись пользователя: Аутентификация с помощью учетной записиОписание

Учетные данные, скомпрометированные в результате эксплуатации, можно выявить, если они используются или отображаются нетипичным образом.

Меры противодействия

IDM1013НазваниеРуководство для разработчиков приложенийОписание

Разработчикам приложений следует проверять запросы на аутентификацию с помощью одноразовых паролей, меток времени или порядковых номеров отправляемых сообщений, цифровых подписей и (или) случайных сеансовых ключей.

IDM1019НазваниеПрограмма исследования угроз (киберразведка)Описание

Разработайте надежную систему исследования киберугроз, чтобы выяснить, в угрозах каких типов и уровней могут использоваться эксплойты, включая эксплуатацию уязвимостей нулевого дня, против конкретной организации.

IDM1048НазваниеИзоляция и помещение в песочницу приложенийОписание

Используйте песочницы, чтобы затруднить злоумышленникам продвижение внутри систем или между системами за счет эксплуатации необнаруженных или неисправленных уязвимостей. Другие типы виртуализации и микросегментации приложений также могут предотвратить некоторые последствия эксплуатации на стороне клиента. Однако и в системах этих типов также могут быть уязвимые места и риски дополнительных эксплойтов.

IDM1050НазваниеЗащита от эксплойтовОписание

Средства безопасности, которые отслеживают использование эксплойтов, такие как Exploit Guard в Защитнике Windows и Enhanced Mitigation Experience Toolkit (EMET), могут защищать от некоторых видов вредоносной активности, связанной с эксплуатацией уязвимостей. Проверка целостности потока управления — еще один способ выявить и остановить программный эксплойт. Однако многие из этих средств защиты совместимы только с определенными архитектурами и бинарными файлами целевых приложений и могут не работать для программ, используемых для обхода защиты.

IDM1051НазваниеОбновление ПООписание

Регулярно обновляйте программное обеспечение, используя управление исправлениями для внутренних корпоративных конечных точек и серверов.