T1484.002: Изменение доверительных отношений
Злоумышленники могут добавлять новые доверительные отношения между доменами, изменять параметры существующих доверительных отношений или иным образом изменять конфигурацию доверительных отношений между доменами и тенантами с целью обхода защитных механизмов и (или) повышения уровня привилегий. Параметры доверительных отношений, например наличие федеративного доступа для пользовательских учетных записей, позволяют применять параметры аутентификации и авторизации к доверенным доменам или тенантам для предоставления доступа к общим ресурсам. Объекты доверия могут включать учетные записи, учетные данные и другие данные для аутентификации, используемые для доступа к серверам, токенам и доменам.
Манипулируя доверительными отношениями, злоумышленники могут повысить уровень привилегий и (или) обойти защитные механизмы путем изменения настроек с целью добавления подконтрольных злоумышленникам объектов. Например, в средах Microsoft Active Directory эта техника может использоваться для подделки токенов SAML, при этом злоумышленнику не нужно компрометировать сертификат подписи с целью создания новых учетных данных: манипулирование доверительными отношениями между доменами позволяет ему добавить собственный сертификат подписи. С помощью служб федерации Active Directory (AD FS) злоумышленник может преобразовать домен Active Directory в федеративный, что может позволить ему изменять доверительные отношения, например правила выдачи утверждений для входа от имени определенного пользователя с любым действительным набором учетных данных.
Злоумышленник может также добавить нового поставщика федеративных удостоверений в тенант системы управления удостоверениями (например, Okta), чтобы получить возможность использовать для аутентификации учетные данные любого пользователя тенанта.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
microsoft_exchange: PT-CR-2351: Exchange_Remove_Federation_Trust: Пользователь удалил доверие федерации из организации Exchange. Это может быть действием злоумышленника с целью нарушить доступность системных и сетевых ресурсов
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для смены управляемой аутентификации в домене на федеративную через операции ActionTypes |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте изменения в облачных службах каталогов и тенантах системы управления удостоверениями, особенно добавление новых поставщиков федеративных удостоверений. В средах Okta создание поставщиков удостоверений генерирует событие |
---|
ID | DS0026 | Источник и компонент данных | Active Directory: Изменение объекта Active Directory | Описание | Отслеживайте нетипичные изменения настроек доверительных отношений между доменами в AD, например попытки пользователя или приложения модифицировать настройки федерации домена. |
---|
ID | DS0026 | Источник и компонент данных | Active Directory: Создание объекта Active Directory | Описание | Отслеживайте создание новых объектов Active Directory (например, события Windows с идентификатором 5137). |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Используйте принцип наименьших привилегий и защитите административный доступ к доменным доверительным отношениям и тенантам идентификационных данных. |
---|