T1212: Эксплуатация уязвимостей для получения учетных данных
Злоумышленники могут эксплуатировать уязвимости в ПО для получения учетных данных. Эксплуатацией уязвимостей в программном обеспечении называют использование злоумышленниками ошибок программирования в приложении, службе или операционной системе, включая ядро, для выполнения своего кода.
Злоумышленники могут эксплуатировать уязвимости механизмов создания и аутентификации учетных записей для получения полезных учетных данных или аутентификации в системах в обход легитимного процесса. Одна из таких уязвимостей, MS14-068
, была обнаружена в протоколе Kerberos; она позволяла создавать поддельные билеты доступа с использованием доменных учетных записей, обладающих определенными разрешениями. Другим примером являются атаки повторного воспроизведения, во время которых злоумышленник перехватывает пакеты данных, которыми обмениваются стороны, и затем воспроизводит их. Если службы проверяют запросы на аутентификацию недостаточно тщательно, злоумышленник может воспользоваться воспроизведенными пакетами, чтобы выдать себя за одну из сторон и получить несанкционированный доступ или права.
Подобные атаки проводились и в облачных средах. В одной из таких атак злоумышленники эксплуатировали уязвимости в публичной облачной инфраструктуре для создания и обновления произвольных токенов аутентификации.
При эксплуатации уязвимостей для получения учетных данных злоумышленники также могут повысить уровень привилегий — наличие такой возможности зависит от целевого процесса и полученных учетных данных.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
vulnerabilities: PT-CR-2659: CVE_2024_38200_Office_NTLM_Relay: Эксплуатация уязвимости CVE-2024-38200 в приложении Microsoft Office. Это может быть признаком атаки NTLM relay после того, как пользователь откроет специально созданный документ по ссылке, отправленной злоумышленником, и выполнит NTLM-аутентификацию vulnerabilities: PT-CR-2293: CVE_2024_27198_TeamCity_Authentication_Bypass: Эксплуатация уязвимости CVE-2024-27198 в TeamCity. Уязвимость позволяет злоумышленнику обойти процесс аутентификации, чтобы создать нового пользователя TeamCity с правами администратора или токен доступа для пользователя. Это может быть использовано для удаленного выполнения команд vulnerabilities: PT-CR-1376: Export_KeePass_Credentials: В конфигурационный файл KeePass внесены изменения, которые могут спровоцировать выгрузку базы данных с паролями в открытом виде sap_suspicious_user_activity: PT-CR-233: SAPASABAP_Debug_Auth_Check: Обход процедуры авторизации через режим отладки active_directory_attacks: PT-CR-2298: Zerologon_Attack: Эксплуатация уязвимости CVE-2020-1472 (Zerologon), которая позволяет сменить пароль к учетной записи контроллера домена
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте создание аномальных процессов, например запуск интерпретаторов командной строки и сценариев из приложения, которое может являться объектом эксплуатации. Также отслеживайте активность, которая может указывать на компрометацию системы, например аномальную активность процессов. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Обнаружить эксплуатацию ПО бывает непросто — эффективность зависит от доступных вам инструментов. Эксплуатация ПО не всегда проходит успешно и может привести к нестабильности или сбою в работе эксплуатируемого процесса. |
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Аутентификация с помощью учетной записи | Описание | Учетные данные, скомпрометированные в результате эксплуатации, можно выявить, если они используются или отображаются нетипичным образом. |
---|
Меры противодействия
ID | M1013 | Название | Руководство для разработчиков приложений | Описание | Разработчикам приложений следует проверять запросы на аутентификацию с помощью одноразовых паролей, меток времени или порядковых номеров отправляемых сообщений, цифровых подписей и (или) случайных сеансовых ключей. |
---|
ID | M1019 | Название | Программа исследования угроз (киберразведка) | Описание | Разработайте надежную систему исследования киберугроз, чтобы выяснить, в угрозах каких типов и уровней могут использоваться эксплойты, включая эксплуатацию уязвимостей нулевого дня, против конкретной организации. |
---|
ID | M1048 | Название | Изоляция и помещение в песочницу приложений | Описание | Используйте песочницы, чтобы затруднить злоумышленникам продвижение внутри систем или между системами за счет эксплуатации необнаруженных или неисправленных уязвимостей. Другие типы виртуализации и микросегментации приложений также могут предотвратить некоторые последствия эксплуатации на стороне клиента. Однако и в системах этих типов также могут быть уязвимые места и риски дополнительных эксплойтов. |
---|
ID | M1050 | Название | Защита от эксплойтов | Описание | Средства безопасности, которые отслеживают использование эксплойтов, такие как Exploit Guard в Защитнике Windows и Enhanced Mitigation Experience Toolkit (EMET), могут защищать от некоторых видов вредоносной активности, связанной с эксплуатацией уязвимостей. Проверка целостности потока управления — еще один способ выявить и остановить программный эксплойт. Однако многие из этих средств защиты совместимы только с определенными архитектурами и бинарными файлами целевых приложений и могут не работать для программ, используемых для обхода защиты. |
---|
ID | M1051 | Название | Обновление ПО | Описание | Регулярно обновляйте программное обеспечение, используя управление исправлениями для внутренних корпоративных конечных точек и серверов. |
---|