T1484.002: Изменение доверительных отношений
Злоумышленники могут добавлять новые доверительные отношения между доменами, изменять параметры существующих доверительных отношений или иным образом изменять конфигурацию доверительных отношений между доменами и тенантами с целью обхода защитных механизмов и (или) повышения уровня привилегий. Параметры доверительных отношений, например наличие федеративного доступа для пользовательских учетных записей, позволяют применять параметры аутентификации и авторизации к доверенным доменам или тенантам для предоставления доступа к общим ресурсам. Объекты доверия могут включать учетные записи, учетные данные и другие данные для аутентификации, используемые для доступа к серверам, токенам и доменам.
Манипулируя доверительными отношениями, злоумышленники могут повысить уровень привилегий и (или) обойти защитные механизмы путем изменения настроек с целью добавления подконтрольных злоумышленникам объектов. Например, в средах Microsoft Active Directory эта техника может использоваться для подделки токенов SAML, при этом злоумышленнику не нужно компрометировать сертификат подписи с целью создания новых учетных данных: манипулирование доверительными отношениями между доменами позволяет ему добавить собственный сертификат подписи. С помощью служб федерации Active Directory (AD FS) злоумышленник может преобразовать домен Active Directory в федеративный, что может позволить ему изменять доверительные отношения, например правила выдачи утверждений для входа от имени определенного пользователя с любым действительным набором учетных данных.
Злоумышленник может также добавить нового поставщика федеративных удостоверений в тенант системы управления удостоверениями (например, Okta), чтобы получить возможность использовать для аутентификации учетные данные любого пользователя тенанта.
Способы обнаружения
ID | DS0026 | Источник и компонент данных | Active Directory: Создание объекта Active Directory | Описание | Monitor for newly constructed active directory objects, such as Windows EID 5137. |
---|
ID | DS0026 | Источник и компонент данных | Active Directory: Изменение объекта Active Directory | Описание | Monitor for changes made to AD settings for unexpected modifications to domain trust settings, such as when a user or application modifies the federation settings on the domain. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Monitor changes to cloud-based directory services and identity tenants, especially regarding the addition of new federated identity providers. In Okta environments, the event |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that updates domain authentication from Managed to Federated via ActionTypes |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Use the principal of least privilege and protect administrative access to domain trusts and identity tenants. |
---|