T1550: Использование альтернативных сущностей для аутентификации
Злоумышленники могут использовать альтернативные сущности для аутентификации (например, хеш-значения паролей, билеты Kerberos и токены доступа к приложениям), чтобы обеспечить перемещение внутри сети и обойти обычные средства управления доступом.
Для аутентификации обычно требуются действительный идентификатор (например, имя пользователя), а также один или несколько факторов аутентификации (например, пароль, пин-код, физическая смарт-карта или генератор токенов). Альтернативные сущности для аутентификации — это легитимные данные, которые создаются системами после успешной аутентификации пользователя или приложения с действительным идентификатором и запрошенными факторами аутентификации. Они также могут генерироваться в процессе создания идентификатора.
Механизм кэширования альтернативных сущностей для аутентификации позволяет системе подтверждать успешную аутентификацию идентификатора без повторного ввода факторов аутентификации пользователем. Поскольку альтернативные данные для аутентификации хранятся в системе — в памяти или на диске, — злоумышленники могут украсть их с помощью техник получения учетных данных. Альтернативные сущности для аутентификации позволяют злоумышленникам обойти системные механизмы управления доступом и выполнить аутентификацию в системах без ввода пароля или дополнительных факторов аутентификации.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
active_directory_attacks: PT-CR-830: Cert_Allowed_Alt_SAN: Запрошен сертификат, который позволяет задавать альтернативный параметр SubjectAccountName. Использование этого сертификата позволит злоумышленнику выдать себя за другого пользователя, в том числе администратора домена
active_directory_attacks: PT-CR-833: DC_Auth_with_Pfx: Запрос TGT-билета с помощью сертификата или смарт-карты. Злоумышленники могут использовать полученный TGT-билет для получения NTLM-хеша учетной записи. Использование этих данных позволит злоумышленнику провести атаку Pass-The-Hash или Silver Ticket
active_directory_attacks: PT-CR-2100: ADCSync_Attack: Атака DCSync для получения NTLM-хешей учетных записей пользователей в среде Active Directory с помощью сертификатов AD CS
active_directory_attacks: PT-CR-2101: Bulk_Certs_Allowed_to_One_User: Большое количество сертификатов выдано одному пользователю. Это может быть признаком использования утилиты ADCSync, которая создает запрос для каждого пользователя, сохраняет его PFX-файл в каталоге сертификатов, а затем пытается выполнить аутентификацию с помощью сертификата и получить NT-хеш для каждого пользователя
Способы обнаружения
ID | DS0026 | Источник и компонент данных | Active Directory: Запрос учетных данных Active Directory | Описание | Отслеживайте запросы билетов на выдачу билетов или билеты службы, которые выдаются контроллеру домена. События безопасности Windows с ИД 4768 (запрос билета аутентификации Kerberos (TGT)) и 4769 (запрос билета службы Kerberos) в сочетании с данными о создании сеанса входа в систему могут свидетельствовать о попытке использования метода Overpass the Hash. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут содержать контекстные данные об аутентификации пользователя в веб-приложениях, в том числе в облачных службах. Эта информация вкупе с событиями использования учетных данных для веб-ресурсов позволит обнаружить нетипичные для корпоративной среды события аутентификации. |
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Аутентификация с помощью учетной записи | Описание | Отслеживайте попытки аутентификации пользователей. С точки зрения классической атаки Pass-The-Hash, в этой технике для аутентификации на скомпрометированной конечной системе используется хеш через протокол NTLMv1/NTLMv2. Эта техника не затрагивает Kerberos. Поэтому аутентификация NTLM LogonType 3, не связанная с входом в домен и не являющаяся анонимным входом, вызывает подозрения. С точки зрения Over-Pass-The-Hash, злоумышленнику требуется обменять хеш на билет аутентификации Kerberos (TGT). Один из способов сделать это — создать "жертвенный" сеанс входа с фиктивными учетными данными (LogonType 9), а затем внедрить хеш в этот сеанс, который запустит процесс аутентификации Kerberos. |
---|
ID | DS0006 | Источник и компонент данных | Учетные данные для веб-ресурсов: Использование учетных данных для веб-ресурсов | Описание | Отслеживайте нетипичные попытки доступа к веб-сайтам и облачным приложениям, когда один и тот же пользователь подключается из разных мест или с разных устройств, которые не соответствуют ожидаемым конфигурациям. |
---|
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Отслеживайте недавние попытки входа в систему и использование учетных данных в событиях и проверяйте их на наличие несоответствий. Необычные попытки удаленной аутентификации, связанные с другими подозрительными действиями (например, записью и выполнением бинарных файлов), могут указывать на вредоносную активность. Примечание. Идентификатор события анализа соответствует событию в журнале безопасности Windows (событие с ИД 4624: вход с учетной записью выполнен успешно). Успешное применение техники "Передача хеша (Pass the Hash)" для перемещения внутри периметра между рабочими станциями генерирует событие с ИД 4624 (информационного уровня) в журнале безопасности Windows. Данное событие покажет попытки входа с аутентификацией NTLM LogonType 3 не через домен и с учетной записью, не соответствующей ANONYMOUS LOGON. Анализ 1. Успешная попытка входа с локальной учетной записью
|
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | Администраторы должны проверять все облачные и контейнерные учетные записи, чтобы убедиться в их необходимости и в том, что предоставленные им разрешения соответствуют действительности. По возможности следует отключить возможность запрашивать временные токены учетных записей от имени других учетных записей. Кроме того, администраторы могут использовать инструменты аудита для отслеживания действий, которые могут быть выполнены в результате доступа к OAuth 2.0. Например, отчеты об аудите позволяют администраторам выявлять действия по повышению привилегий, такие как создание ролей или изменение политик, которые могут быть выполнены после получения первоначального доступа. |
---|
ID | M1027 | Название | Парольные политики | Описание | Создайте и внедрите политику безопасных паролей для учетных записей. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте дублирование учетных данных в разных системах, чтобы предотвратить ущерб от компрометации учетных данных и уменьшить возможности злоумышленника по латеральному перемещению между системами. |
---|
ID | M1015 | Название | Конфигурация Active Directory | Описание | Настройте Active Directory, чтобы предотвратить использование некоторых техник, используйте фильтрацию SID и прочее. |
---|
ID | M1013 | Название | Руководство для разработчиков приложений | Описание | По возможности используйте стратегии привязки токенов, например Azure AD Token Protection или OAuth Proof of Possession, которые криптографически связывают токен с секретом. Это может предотвратить использование токена без знания секрета или обладания устройством, к которому привязан токен. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Обеспечьте использование принципа минимальных привилегий. Не допускайте, чтобы пользователь домена находился в локальной группе администраторов на нескольких системах. |
---|