T1484.002: Изменение доверительных отношений

Злоумышленники могут добавлять новые доверительные отношения между доменами, изменять параметры существующих доверительных отношений или иным образом изменять конфигурацию доверительных отношений между доменами и тенантами с целью обхода защитных механизмов и (или) повышения уровня привилегий. Параметры доверительных отношений, например наличие федеративного доступа для пользовательских учетных записей, позволяют применять параметры аутентификации и авторизации к доверенным доменам или тенантам для предоставления доступа к общим ресурсам. Объекты доверия могут включать учетные записи, учетные данные и другие данные для аутентификации, используемые для доступа к серверам, токенам и доменам.

Манипулируя доверительными отношениями, злоумышленники могут повысить уровень привилегий и (или) обойти защитные механизмы путем изменения настроек с целью добавления подконтрольных злоумышленникам объектов. Например, в средах Microsoft Active Directory эта техника может использоваться для подделки токенов SAML, при этом злоумышленнику не нужно компрометировать сертификат подписи с целью создания новых учетных данных: манипулирование доверительными отношениями между доменами позволяет ему добавить собственный сертификат подписи. С помощью служб федерации Active Directory (AD FS) злоумышленник может преобразовать домен Active Directory в федеративный, что может позволить ему изменять доверительные отношения, например правила выдачи утверждений для входа от имени определенного пользователя с любым действительным набором учетных данных.

Злоумышленник может также добавить нового поставщика федеративных удостоверений в тенант системы управления удостоверениями (например, Okta), чтобы получить возможность использовать для аутентификации учетные данные любого пользователя тенанта.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

microsoft_exchange: PT-CR-2351: Exchange_Remove_Federation_Trust: Пользователь удалил доверие федерации из организации Exchange. Это может быть действием злоумышленника с целью нарушить доступность системных и сетевых ресурсов

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для смены управляемой аутентификации в домене на федеративную через операции ActionTypes Set federation settings on domain и Set domain authentication. Отслеживайте такие команды PowerShell, как Update-MSOLFederatedDomain –DomainName: "Federated Domain Name" или Update-MSOLFederatedDomain –DomainName: "Federated Domain Name" –supportmultipledomain.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте изменения в облачных службах каталогов и тенантах системы управления удостоверениями, особенно добавление новых поставщиков федеративных удостоверений. В средах Okta создание поставщиков удостоверений генерирует событие system.idp.lifecycle.create, а вход в систему через службу стороннего поставщика удостоверений — событие user.authentication.auth_via_IDP.

IDDS0026Источник и компонент данныхActive Directory: Изменение объекта Active DirectoryОписание

Отслеживайте нетипичные изменения настроек доверительных отношений между доменами в AD, например попытки пользователя или приложения модифицировать настройки федерации домена.

IDDS0026Источник и компонент данныхActive Directory: Создание объекта Active DirectoryОписание

Отслеживайте создание новых объектов Active Directory (например, события Windows с идентификатором 5137).

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Используйте принцип наименьших привилегий и защитите административный доступ к доменным доверительным отношениям и тенантам идентификационных данных.