Техника на mitre.org

T1212: Эксплуатация уязвимостей для получения учетных данных

Злоумышленники могут эксплуатировать уязвимости в ПО для получения учетных данных. Эксплуатацией уязвимостей в программном обеспечении называют использование злоумышленниками ошибок программирования в приложении, службе или операционной системе, включая ядро, для выполнения своего кода.

Злоумышленники могут эксплуатировать уязвимости механизмов создания и аутентификации учетных записей для получения полезных учетных данных или аутентификации в системах в обход легитимного процесса. Одна из таких уязвимостей, MS14-068, была обнаружена в протоколе Kerberos; она позволяла создавать поддельные билеты доступа с использованием доменных учетных записей, обладающих определенными разрешениями. Другим примером являются атаки повторного воспроизведения, во время которых злоумышленник перехватывает пакеты данных, которыми обмениваются стороны, и затем воспроизводит их. Если службы проверяют запросы на аутентификацию недостаточно тщательно, злоумышленник может воспользоваться воспроизведенными пакетами, чтобы выдать себя за одну из сторон и получить несанкционированный доступ или права.

Подобные атаки проводились и в облачных средах. В одной из таких атак злоумышленники эксплуатировали уязвимости в публичной облачной инфраструктуре для создания и обновления произвольных токенов аутентификации.

При эксплуатации уязвимостей для получения учетных данных злоумышленники также могут повысить уровень привилегий — наличие такой возможности зависит от целевого процесса и полученных учетных данных.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

sap_suspicious_user_activity: PT-CR-233: SAPASABAP_Debug_Auth_Check: Обход процедуры авторизации через режим отладки vulnerabilities: PT-CR-2659: CVE_2024_38200_Office_NTLM_Relay: Эксплуатация уязвимости CVE-2024-38200 в приложении Microsoft Office. Это может быть признаком атаки NTLM relay после того, как пользователь откроет специально созданный документ по ссылке, отправленной злоумышленником, и выполнит NTLM-аутентификацию vulnerabilities: PT-CR-2293: CVE_2024_27198_TeamCity_Authentication_Bypass: Эксплуатация уязвимости CVE-2024-27198 в TeamCity. Уязвимость позволяет злоумышленнику обойти процесс аутентификации, чтобы создать нового пользователя TeamCity с правами администратора или токен доступа для пользователя. Это может быть использовано для удаленного выполнения команд vulnerabilities: PT-CR-1376: Export_KeePass_Credentials: В конфигурационный файл KeePass внесены изменения, которые могут спровоцировать выгрузку базы данных с паролями в открытом виде active_directory_attacks: PT-CR-2298: Zerologon_Attack: Эксплуатация уязвимости CVE-2020-1472 (Zerologon), которая позволяет сменить пароль к учетной записи контроллера домена

Способы обнаружения

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Аутентификация с помощью учетной записи	Описание	Учетные данные, скомпрометированные в результате эксплуатации, можно выявить, если они используются или отображаются нетипичным образом.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Обнаружить эксплуатацию ПО бывает непросто — эффективность зависит от доступных вам инструментов. Эксплуатация ПО не всегда проходит успешно и может привести к нестабильности или сбою в работе эксплуатируемого процесса.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте создание аномальных процессов, например запуск интерпретаторов командной строки и сценариев из приложения, которое может являться объектом эксплуатации. Также отслеживайте активность, которая может указывать на компрометацию системы, например аномальную активность процессов.

ID	Источник и компонент данных	Описание
DS0002	Учетная запись пользователя: Аутентификация с помощью учетной записи	Учетные данные, скомпрометированные в результате эксплуатации, можно выявить, если они используются или отображаются нетипичным образом.
DS0015	Журналы приложений: Содержимое журналов приложений	Обнаружить эксплуатацию ПО бывает непросто — эффективность зависит от доступных вам инструментов. Эксплуатация ПО не всегда проходит успешно и может привести к нестабильности или сбою в работе эксплуатируемого процесса.
DS0009	Процесс: Создание процесса	Отслеживайте создание аномальных процессов, например запуск интерпретаторов командной строки и сценариев из приложения, которое может являться объектом эксплуатации. Также отслеживайте активность, которая может указывать на компрометацию системы, например аномальную активность процессов.

Меры противодействия

ID	M1013	Название	Руководство для разработчиков приложений	Описание	Разработчикам приложений следует проверять запросы на аутентификацию с помощью одноразовых паролей, меток времени или порядковых номеров отправляемых сообщений, цифровых подписей и (или) случайных сеансовых ключей.

ID	M1019	Название	Программа исследования угроз (киберразведка)	Описание	Разработайте надежную систему исследования киберугроз, чтобы выяснить, в угрозах каких типов и уровней могут использоваться эксплойты, включая эксплуатацию уязвимостей нулевого дня, против конкретной организации.

ID	M1048	Название	Изоляция и помещение в песочницу приложений	Описание	Используйте песочницы, чтобы затруднить злоумышленникам продвижение внутри систем или между системами за счет эксплуатации необнаруженных или неисправленных уязвимостей. Другие типы виртуализации и микросегментации приложений также могут предотвратить некоторые последствия эксплуатации на стороне клиента. Однако и в системах этих типов также могут быть уязвимые места и риски дополнительных эксплойтов.

ID	M1050	Название	Защита от эксплойтов	Описание	Средства безопасности, которые отслеживают использование эксплойтов, такие как Exploit Guard в Защитнике Windows и Enhanced Mitigation Experience Toolkit (EMET), могут защищать от некоторых видов вредоносной активности, связанной с эксплуатацией уязвимостей. Проверка целостности потока управления — еще один способ выявить и остановить программный эксплойт. Однако многие из этих средств защиты совместимы только с определенными архитектурами и бинарными файлами целевых приложений и могут не работать для программ, используемых для обхода защиты.

ID	M1051	Название	Обновление ПО	Описание	Регулярно обновляйте программное обеспечение, используя управление исправлениями для внутренних корпоративных конечных точек и серверов.

ID	Название	Описание
M1013	Руководство для разработчиков приложений	Разработчикам приложений следует проверять запросы на аутентификацию с помощью одноразовых паролей, меток времени или порядковых номеров отправляемых сообщений, цифровых подписей и (или) случайных сеансовых ключей.
M1019	Программа исследования угроз (киберразведка)	Разработайте надежную систему исследования киберугроз, чтобы выяснить, в угрозах каких типов и уровней могут использоваться эксплойты, включая эксплуатацию уязвимостей нулевого дня, против конкретной организации.
M1048	Изоляция и помещение в песочницу приложений	Используйте песочницы, чтобы затруднить злоумышленникам продвижение внутри систем или между системами за счет эксплуатации необнаруженных или неисправленных уязвимостей. Другие типы виртуализации и микросегментации приложений также могут предотвратить некоторые последствия эксплуатации на стороне клиента. Однако и в системах этих типов также могут быть уязвимые места и риски дополнительных эксплойтов.
M1050	Защита от эксплойтов	Средства безопасности, которые отслеживают использование эксплойтов, такие как Exploit Guard в Защитнике Windows и Enhanced Mitigation Experience Toolkit (EMET), могут защищать от некоторых видов вредоносной активности, связанной с эксплуатацией уязвимостей. Проверка целостности потока управления — еще один способ выявить и остановить программный эксплойт. Однако многие из этих средств защиты совместимы только с определенными архитектурами и бинарными файлами целевых приложений и могут не работать для программ, используемых для обхода защиты.
M1051	Обновление ПО	Регулярно обновляйте программное обеспечение, используя управление исправлениями для внутренних корпоративных конечных точек и серверов.