T1550: Использование альтернативных сущностей для аутентификации
Злоумышленники могут использовать альтернативные сущности для аутентификации (например, хеш-значения паролей, билеты Kerberos и токены доступа к приложениям), чтобы обеспечить перемещение внутри сети и обойти обычные средства управления доступом.
Для аутентификации обычно требуются действительный идентификатор (например, имя пользователя), а также один или несколько факторов аутентификации (например, пароль, пин-код, физическая смарт-карта или генератор токенов). Альтернативные сущности для аутентификации — это легитимные данные, которые создаются системами после успешной аутентификации пользователя или приложения с действительным идентификатором и запрошенными факторами аутентификации. Они также могут генерироваться в процессе создания идентификатора.
Механизм кэширования альтернативных сущностей для аутентификации позволяет системе подтверждать успешную аутентификацию идентификатора без повторного ввода факторов аутентификации пользователем. Поскольку альтернативные данные для аутентификации хранятся в системе — в памяти или на диске, — злоумышленники могут украсть их с помощью техник получения учетных данных. Альтернативные сущности для аутентификации позволяют злоумышленникам обойти системные механизмы управления доступом и выполнить аутентификацию в системах без ввода пароля или дополнительных факторов аутентификации.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
active_directory_certificate_services_attacks: PT-CR-2645: Cert_Explicit_Mapping_Reference_Adding: Использована техника ESC14 (сценарий A). Пользователь получил билет проверки подлинности (TGT) на имя другого пользователя, используя явное сопоставление сертификатов. Злоумышленники могут изменить атрибут Alt-Security-Identities, указав в нем сопоставление со своей учетной записью или сертификатом, и получить доступ к системным ресурсам от имени жертвы active_directory_certificate_services_attacks: PT-CR-2652: Enrollment_Agent_Cert_For_Low_Privilege_Groups: Использована техника ESC3. Пользователь с помощью шаблона получил сертификат, который позволяет запрашивать сертификат от имени другого пользователя. Этот шаблон доступен участникам групп с низкими привилегиями без дополнительного подтверждения со стороны менеджера active_directory_certificate_services_attacks: PT-CR-2657: Cert_Application_Policy_Abuse: Использована техника ESC15. Выпущен сертификат на основе шаблона версии 1. Этот шаблон позволяет добавлять в запрос произвольные политики приложений с более высоким приоритетом, чем заданные атрибуты PKI-Extended-Key-Usage (использование расширенного ключа). Злоумышленник может использовать эту технику, чтобы расширить возможности применения сертификата active_directory_certificate_services_attacks: PT-CR-2646: Cert_Request_After_Account_Edit: Использована техника ESC14 (сценарий B, C или D). Пользователь запросил сертификат после изменения параметров учетной записи, отвечающих за определение субъекта. Злоумышленники могут изменить атрибуты жертвы "cn", "mail" или "dNSHostName" так, чтобы они соответствовали явному сопоставлению сертификатов целевой учетной записи, и получить доступ к системным ресурсам от имени жертвы active_directory_certificate_services_attacks: PT-CR-2643: Cert_Subject_Name_Different_From_UPN: Использована техника ESC9 или ESC10. Пользователь запросил сертификат после того, как установил для атрибута userPrincipalName (UPN) значение, не соответствующее своему имени. Злоумышленники могут использовать этот сертификат для выполнения действий от имени пользователя, указанного в UPN active_directory_certificate_services_attacks: PT-CR-2641: Cert_Compromise_Via_NTLM_Relay: Использована техника ESC8 или ESC11. В результате атаки NTLM Relay на центр сертификации получен сертификат на имя целевой учетной записи. Используя этот сертификат, злоумышленник может выполнять действия на уровне привилегий жертвы active_directory_certificate_services_attacks: PT-CR-2470: Cert_Request_And_Approved_With_Alt_SAN: Запрошен сертификат с альтернативным именем для учетной записи. Злоумышленник может использовать неправильно настроенные шаблоны сертификатов AD CS, чтобы выдать себя за администратора и создать дополнительные сертификаты аутентификации active_directory_certificate_services_attacks: PT-CR-830: Cert_Allowed_Alt_SAN: Запрошен сертификат, который позволяет задавать альтернативный параметр SubjectAccountName. Использование этого сертификата позволит злоумышленнику выдать себя за другого пользователя, в том числе администратора домена active_directory_attacks: PT-CR-833: DC_Auth_With_Pfx: Пользователь запросил билет проверки подлинности (TGT) с помощью сертификата или смарт-карты. Злоумышленники могут использовать такой билет, чтобы получить NTLM-хеш учетной записи и с его помощью провести атаку Pass-the-hash или Silver Ticket
Подтехники
Способы обнаружения
| ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Аутентификация с помощью учетной записи | Описание | Отслеживайте попытки аутентификации пользователей. С точки зрения классической атаки Pass-The-Hash, в этой технике для аутентификации на скомпрометированной конечной системе используется хеш через протокол NTLMv1/NTLMv2. Эта техника не затрагивает Kerberos. Поэтому аутентификация NTLM LogonType 3, не связанная с входом в домен и не являющаяся анонимным входом, вызывает подозрения. С точки зрения Over-Pass-The-Hash, злоумышленнику требуется обменять хеш на билет аутентификации Kerberos (TGT). Один из способов сделать это — создать "жертвенный" сеанс входа с фиктивными учетными данными (LogonType 9), а затем внедрить хеш в этот сеанс, который запустит процесс аутентификации Kerberos. |
|---|
| ID | DS0006 | Источник и компонент данных | Учетные данные для веб-ресурсов: Использование учетных данных для веб-ресурсов | Описание | Отслеживайте нетипичные попытки доступа к веб-сайтам и облачным приложениям, когда один и тот же пользователь подключается из разных мест или с разных устройств, которые не соответствуют ожидаемым конфигурациям. |
|---|
| ID | DS0026 | Источник и компонент данных | Active Directory: Запрос учетных данных Active Directory | Описание | Отслеживайте запросы билетов на выдачу билетов или билеты службы, которые выдаются контроллеру домена. События безопасности Windows с ИД 4768 (запрос билета аутентификации Kerberos (TGT)) и 4769 (запрос билета службы Kerberos) в сочетании с данными о создании сеанса входа в систему могут свидетельствовать о попытке использования метода Overpass the Hash. |
|---|
| ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут содержать контекстные данные об аутентификации пользователя в веб-приложениях, в том числе в облачных службах. Эта информация вкупе с событиями использования учетных данных для веб-ресурсов позволит обнаружить нетипичные для корпоративной среды события аутентификации. |
|---|
| ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Отслеживайте недавние попытки входа в систему и использование учетных данных в событиях и проверяйте их на наличие несоответствий. Необычные попытки удаленной аутентификации, связанные с другими подозрительными действиями (например, записью и выполнением бинарных файлов), могут указывать на вредоносную активность. Примечание. Идентификатор события анализа соответствует событию в журнале безопасности Windows (событие с ИД 4624: вход с учетной записью выполнен успешно). Успешное применение техники "Передача хеша (Pass the Hash)" для перемещения внутри периметра между рабочими станциями генерирует событие с ИД 4624 (информационного уровня) в журнале безопасности Windows. Данное событие покажет попытки входа с аутентификацией NTLM LogonType 3 не через домен и с учетной записью, не соответствующей ANONYMOUS LOGON. Анализ 1. Успешная попытка входа с локальной учетной записью
|
|---|
Меры противодействия
| ID | M1013 | Название | Руководство для разработчиков приложений | Описание | По возможности используйте стратегии привязки токенов, например Azure AD Token Protection или OAuth Proof of Possession, которые криптографически связывают токен с секретом. Это может предотвратить использование токена без знания секрета или обладания устройством, к которому привязан токен. |
|---|
| ID | M1015 | Название | Конфигурация Active Directory | Описание | Настройте Active Directory, чтобы предотвратить использование некоторых техник, используйте фильтрацию SID и прочее. |
|---|
| ID | M1018 | Название | Управление учетными записями | Описание | Обеспечьте использование принципа минимальных привилегий. Не допускайте, чтобы пользователь домена находился в локальной группе администраторов на нескольких системах. |
|---|
| ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте дублирование учетных данных в разных системах, чтобы предотвратить ущерб от компрометации учетных данных и уменьшить возможности злоумышленника по латеральному перемещению между системами. |
|---|
| ID | M1027 | Название | Парольные политики | Описание | Создайте и внедрите политику безопасных паролей для учетных записей. |
|---|
| ID | M1047 | Название | Аудит | Описание | Администраторы должны проверять все облачные и контейнерные учетные записи, чтобы убедиться в их необходимости и в том, что предоставленные им разрешения соответствуют действительности. По возможности следует отключить возможность запрашивать временные токены учетных записей от имени других учетных записей. Кроме того, администраторы могут использовать инструменты аудита для отслеживания действий, которые могут быть выполнены в результате доступа к OAuth 2.0. Например, отчеты об аудите позволяют администраторам выявлять действия по повышению привилегий, такие как создание ролей или изменение политик, которые могут быть выполнены после получения первоначального доступа. |
|---|