T1531: Прекращение доступа к учетной записи

Злоумышленники могут сделать системы и сетевые ресурсы недоступными, препятствуя доступу к учетным записям легитимных пользователей. Для предотвращения доступа к учетным записям они могут быть удалены, заблокированы или изменены (например, изменены их учетные данные). Чтобы активировать вредоносные изменения, злоумышленники могут затем выйти из системы и (или) инициировать завершение работы или перезагрузку системы.

В Windows для изменения учетных записей пользователей злоумышленники могут использовать утилиту net и командлеты Set-LocalUser и Set-ADAccountPassword в PowerShell. В Linux для смены паролей может быть использована утилита passwd. Учетные записи также могут быть отключены с помощью групповой политики.

Перед выполнением процедуры шифрования данных злоумышленники, использующие программы-вымогатели или аналогичные средства в своих атаках, могут использовать технику прекращения доступа к учетным записям наряду с другими техниками деструктивного воздействия, такими как Уничтожение данных и Дефейс, чтобы помешать реагированию на инцидент или восстановлению данных.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

yandex_cloud: PT-CR-1267: Yandex_Cloud_Symmetric_Key_Access_Manage: Изменены права доступа к симметричному ключу yandex_cloud: PT-CR-817: Yandex_Cloud_Secret_Access_Manage: Изменены права доступа к секрету yandex_cloud: PT-CR-819: Yandex_Cloud_Symmetric_Key_Removal: Симментричный ключ удален yandex_cloud: PT-CR-810: Yandex_Cloud_Access_Key_Manipulation: Создан или удален ключ доступа mongo_database: PT-CR-1954: MongoDB_Mass_Drop_User: Массовое удаление пользователей в MongoDB mongo_database: PT-CR-1955: MongoDB_Revoke_High_Role: У пользователя отозваны права администратора enterprise_1c_and_bitrix: PT-CR-675: Enterprise_1C_Multiple_User_Password_Change: Многократная смена пароля к одной и той же учетной записи enterprise_1c_and_bitrix: PT-CR-677: Enterprise_1C_Multiple_User_Lock: Массовая блокировка учетных записей microsoft_mecm: PT-CR-1898: MECM_Remove_Accounts: Удаление учетной записи из MECM hashicorp: PT-CR-2140: Hashicorp_Vault_Important_Secrets_Rewrite: Злоумышленники могут перезаписывать важные секреты, чтобы нарушить доступность или работоспособность отдельных систем или получить к ним доступ hashicorp: PT-CR-2142: Hashicorp_Vault_Important_Secrets_Deleted: Злоумышленники могут удалять важные секреты для нарушения доступности или работоспособности отдельных систем mitre_attck_impact: PT-CR-495: Remove_Access_To_Sensitive_Account: Обнаружение попыток заблокировать доступ к учетной записи, значимой для ИБ mitre_attck_impact: PT-CR-2418: NGate_Account_Access_Removal: Завершено большое число пользовательских сессий, что может свидетельствовать о компрометации учетной записи администратора системы CryptoPro NGate mysql_database: PT-CR-622: MySQL_Disconnect_User: Попытка прервать пользовательский сеанс mysql_database: PT-CR-625: MySQL_User_Operation: Попытка изменить или удалить учетную запись пользователя zabbix: PT-CR-2050: Zabbix_Critical_Group_Manipulate: Пользователь выполнил действие с критически важной группой в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы zabbix: PT-CR-2052: Zabbix_Critical_Role_Manipulate: Пользователь выполнил действие с критически важной ролью в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы zabbix: PT-CR-2054: Zabbix_User_Multiple_Password_Change: Пользователь многократно сменил пароль в системе Zabbix. Это может быть действием злоумышленника с целью закрепиться в системе zabbix: PT-CR-2051: Zabbix_Critical_User_Manipulate: Пользователь выполнил действие с учетной записью критически важного пользователя в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или сделать недоступными системные и сетевые ресурсы freeipa: PT-CR-1958: FreeIPA_Multiple_User_Password_Change: Многократная смена пароля пользователя freeipa: PT-CR-1956: FreeIPA_Privileged_Account_Blocking: Заблокирован пользователь с повышенными привилегиями freeipa: PT-CR-1959: FreeIPA_Multiple_User_Lock: Массовая блокировка пользователей sap_java_suspicious_user_activity: PT-CR-543: SAPASJAVA_User_Password_Changed: Пароль учетной записи был изменен несколько раз sap_java_suspicious_user_activity: PT-CR-542: SAPASJAVA_User_Locked_After_Too_Many_Password_Logon_Attempts: Пользователь заблокирован после нескольких неудачных попыток входа network_devices_compromise: PT-CR-1351: Checkpoint_Admin_Modification: Добавление или удаление администраторов на устройстве Checkpoint sap_suspicious_user_activity: PT-CR-249: SAPASABAP_Lock_Many_Accounts: Массовая блокировка учетных записей sap_suspicious_user_activity: PT-CR-232: SAPASABAP_Critical_Action_By_Non_Admin_User: Пользователь, не имеющий административных полномочий, выполнил критически опасное действие в системе apache_cassandra_database: PT-CR-2086: Apache_Cassandra_Revoke_All_Permissions: У пользователя отозваны все разрешения. Это может быть действием злоумышленника с целью лишить другого пользователя возможности противодействовать вредоносной активности microsoft_exchange: PT-CR-2353: Exchange_Mass_Deletion_Of_Mailboxes: Пользователь удалил почтовые ящики в системе Exchange. Это может быть попыткой злоумышленника сделать недоступными системные и сетевые ресурсы microsoft_exchange: PT-CR-2362: Exchange_Mass_Deletion_Of_Groups: Пользователь удалил группы в системе Exchange. Это может быть попыткой злоумышленника сделать недоступными системные и сетевые ресурсы microsoft_exchange: PT-CR-2360: Exchange_Critical_Group_Manipulate: Пользователь изменил или удалил критически важную группу в системе Exchange. Это может быть действием злоумышленника с целью повысить привилегии или нарушить доступность системы microsoft_exchange: PT-CR-2355: Exchange_Admin_Role_Actions: Пользователь выполнил действие с ролью управления в системе Exchange. Это может свидетельствовать о попытке злоумышленника повысить привилегии или нарушить доступность системных ресурсов vmware_aria: PT-CR-2382: Aria_Operations_Admin_Panel_Admin_Locked_Too_Many_Logons: Пользователь заблокирован. Блокировка пользователя может свидетельствовать о попытке злоумышленника блокировать доступ к учетной записи в интерфейсе администрирования Aria Operations vmware_aria: PT-CR-2370: AOFL_Role_Manage: Появление новой роли с критически важными разрешениями может свидетельствовать о попытке злоумышленника повысить привилегии и (или) закрепиться в системе Aria Operations for Logs vmware_aria: PT-CR-2380: Aria_Operations_User_Manage: Удаление или изменение нескольких учетных записей может свидетельствовать о попытке злоумышленника заблокировать доступ владельцам к Aria Operations vmware_aria: PT-CR-2377: AOFL_User_Locked_Too_Many_Logons: Блокировка пользователя может свидетельствовать о попытке злоумышленника блокировать доступ к учетной записи в Aria Operations for Logs vmware_aria: PT-CR-2381: AOFL_User_Manage: Удаление или изменение нескольких учетных записей может свидетельствовать о попытке злоумышленника заблокировать доступ владельцам в Aria Operations for Logs vmware_aria: PT-CR-2368: Aria_Operations_Change_Admin_Password_Via_CLI: Изменение пароля администратора в Aria Operations из командной строки без указания старого пароля может свидетельствовать о попытке злоумышленника блокировать доступ владельцу и (или) получить доступ к данным Aria Operations vk_cloud: PT-CR-2102: VK_Cloud_Keypair_Operation: Пользователь не из списка разрешенных выполнил действие с ключевой парой. Это может свидетельствовать о попытке злоумышленника установить нелегитимное подключение к виртуальной машине по SSH или ограничить возможность легитимного подключения к узлу vk_cloud: PT-CR-2105: VK_Cloud_VM_Security_Group_Operation: Пользователь не из списка разрешенных изменил список групп безопасности виртуальной машины, что может свидетельствовать о попытке злоумышленника изменить сетевую конфигурацию active_directory_attacks: PT-CR-1342: Subrule_PowerView_Objects_Actions: Удаленное изменение доменных объектов (доменные пользователи и группы, учетные записи компьютеров) с помощью инструмента PowerView (PowerViewPy) active_directory_attacks: PT-CR-1344: Remote_Actions_With_Domain_Objects: Использован сценарий из набора PowerView. Злоумышленники используют инструмент PowerView для разведки в доменах Windows security_code_secret_net_lsp: PT-CR-1895: SecretNet_LSP_Manipulate_User_With_Critical_Roles: Изменение критически важной учетной записи security_code_secret_net_lsp: PT-CR-1887: SecretNet_LSP_Multiple_User_Password_Change: Многократная смена пароля одной и той же учетной записи

Способы обнаружения

IDDS0026Источник и компонент данныхActive Directory: Изменение объекта Active DirectoryОписание

Отслеживайте настройки AD на предмет нетипичных изменений учетных записей пользователей, например удаления или потенциально вредоносного изменения атрибутов пользователей (таких как учетные данные и статус).

IDDS0002Источник и компонент данныхУчетная запись пользователя: Изменения в учетной записиОписание

Отслеживайте неожиданные изменения в учетных записях пользователей, например изменение их пароля или статуса (включена/отключена). В журналах событий Windows могут отмечаться действия, связанные с попыткой злоумышленника закрыть доступ к учетной записи: события с идентификатором 4723: предпринята попытка изменить пароль учетной записи; события с идентификатором 4724: предпринята попытка сбросить пароль учетной записи; события с идентификатором 4725: учетная запись пользователя отключена.

Оповещения по этим идентификаторам событий зачастую являются ложными срабатываниями, поэтому их нужно сравнивать с базовыми данными о нормальной эксплуатации систем и по возможности соотносить события изменения учетных записей с другими признаками вредоносной активности.

IDDS0002Источник и компонент данныхУчетная запись пользователя: Удаление учетной записиОписание

Отслеживайте нетипичные случаи удаления учетных записей пользователей. В журналах событий Windows могут фиксироваться действия, связанные с попытками злоумышленника удалить учетную запись, например события с идентификатором 4726 (учетная запись пользователя удалена).

Оповещения по этим идентификаторам событий зачастую являются ложными срабатываниями, поэтому их нужно сравнивать с базовыми данными о нормальной эксплуатации систем и по возможности соотносить события изменения учетных записей с другими признаками вредоносной активности.