T1484.002: Изменение доверительных отношений

Злоумышленники могут добавлять новые доверительные отношения между доменами, изменять параметры существующих доверительных отношений или иным образом изменять конфигурацию доверительных отношений между доменами и тенантами с целью обхода защитных механизмов и (или) повышения уровня привилегий. Параметры доверительных отношений, например наличие федеративного доступа для пользовательских учетных записей, позволяют применять параметры аутентификации и авторизации к доверенным доменам или тенантам для предоставления доступа к общим ресурсам. Объекты доверия могут включать учетные записи, учетные данные и другие данные для аутентификации, используемые для доступа к серверам, токенам и доменам.

Манипулируя доверительными отношениями, злоумышленники могут повысить уровень привилегий и (или) обойти защитные механизмы путем изменения настроек с целью добавления подконтрольных злоумышленникам объектов. Например, в средах Microsoft Active Directory эта техника может использоваться для подделки токенов SAML, при этом злоумышленнику не нужно компрометировать сертификат подписи с целью создания новых учетных данных: манипулирование доверительными отношениями между доменами позволяет ему добавить собственный сертификат подписи. С помощью служб федерации Active Directory (AD FS) злоумышленник может преобразовать домен Active Directory в федеративный, что может позволить ему изменять доверительные отношения, например правила выдачи утверждений для входа от имени определенного пользователя с любым действительным набором учетных данных.

Злоумышленник может также добавить нового поставщика федеративных удостоверений в тенант системы управления удостоверениями (например, Okta), чтобы получить возможность использовать для аутентификации учетные данные любого пользователя тенанта.

Способы обнаружения

IDDS0026Источник и компонент данныхActive Directory: Создание объекта Active DirectoryОписание

Monitor for newly constructed active directory objects, such as Windows EID 5137.

IDDS0026Источник и компонент данныхActive Directory: Изменение объекта Active DirectoryОписание

Monitor for changes made to AD settings for unexpected modifications to domain trust settings, such as when a user or application modifies the federation settings on the domain.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Monitor changes to cloud-based directory services and identity tenants, especially regarding the addition of new federated identity providers. In Okta environments, the event system.idp.lifecycle.create will trigger on the creation of an identity provider, while sign-ins from a third-party identity provider will create the event user.authentication.auth_via_IDP.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that updates domain authentication from Managed to Federated via ActionTypes Set federation settings on domain and Set domain authentication. Monitor for PowerShell commands such as: Update-MSOLFederatedDomain –DomainName: "Federated Domain Name", or Update-MSOLFederatedDomain –DomainName: "Federated Domain Name" –supportmultipledomain.

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Use the principal of least privilege and protect administrative access to domain trusts and identity tenants.