MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1550: Использование альтернативных сущностей для аутентификации

Злоумышленники могут использовать альтернативные сущности для аутентификации (например, хеш-значения паролей, билеты Kerberos и токены доступа к приложениям), чтобы обеспечить перемещение внутри сети и обойти обычные средства управления доступом.

Для аутентификации обычно требуются действительный идентификатор (например, имя пользователя), а также один или несколько факторов аутентификации (например, пароль, пин-код, физическая смарт-карта или генератор токенов). Альтернативные сущности для аутентификации — это легитимные данные, которые создаются системами после успешной аутентификации пользователя или приложения с действительным идентификатором и запрошенными факторами аутентификации. Они также могут генерироваться в процессе создания идентификатора.

Механизм кэширования альтернативных сущностей для аутентификации позволяет системе подтверждать успешную аутентификацию идентификатора без повторного ввода факторов аутентификации пользователем. Поскольку альтернативные данные для аутентификации хранятся в системе — в памяти или на диске, — злоумышленники могут украсть их с помощью техник получения учетных данных. Альтернативные сущности для аутентификации позволяют злоумышленникам обойти системные механизмы управления доступом и выполнить аутентификацию в системах без ввода пароля или дополнительных факторов аутентификации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

active_directory_attacks: PT-CR-830: Cert_Allowed_Alt_SAN: Запрошен сертификат, который позволяет задавать альтернативный параметр SubjectAccountName. Использование этого сертификата позволит злоумышленнику выдать себя за другого пользователя, в том числе администратора домена
active_directory_attacks: PT-CR-833: DC_Auth_with_Pfx: Запрос TGT-билета с помощью сертификата или смарт-карты. Злоумышленники могут использовать полученный TGT-билет для получения NTLM-хеша учетной записи. Использование этих данных позволит злоумышленнику провести атаку Pass-The-Hash или Silver Ticket
active_directory_attacks: PT-CR-2100: ADCSync_Attack: Атака DCSync для получения NTLM-хешей учетных записей пользователей в среде Active Directory с помощью сертификатов AD CS
active_directory_attacks: PT-CR-2101: Bulk_Certs_Allowed_to_One_User: Большое количество сертификатов выдано одному пользователю. Это может быть признаком использования утилиты ADCSync, которая создает запрос для каждого пользователя, сохраняет его PFX-файл в каталоге сертификатов, а затем пытается выполнить аутентификацию с помощью сертификата и получить NT-хеш для каждого пользователя

Способы обнаружения

IDDS0026Источник и компонент данныхActive Directory: Запрос учетных данных Active DirectoryОписание

Отслеживайте запросы билетов на выдачу билетов или билеты службы, которые выдаются контроллеру домена. События безопасности Windows с ИД 4768 (запрос билета аутентификации Kerberos (TGT)) и 4769 (запрос билета службы Kerberos) в сочетании с данными о создании сеанса входа в систему могут свидетельствовать о попытке использования метода Overpass the Hash.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут содержать контекстные данные об аутентификации пользователя в веб-приложениях, в том числе в облачных службах. Эта информация вкупе с событиями использования учетных данных для веб-ресурсов позволит обнаружить нетипичные для корпоративной среды события аутентификации.

IDDS0002Источник и компонент данныхУчетная запись пользователя: Аутентификация с помощью учетной записиОписание

Отслеживайте попытки аутентификации пользователей. С точки зрения классической атаки Pass-The-Hash, в этой технике для аутентификации на скомпрометированной конечной системе используется хеш через протокол NTLMv1/NTLMv2. Эта техника не затрагивает Kerberos. Поэтому аутентификация NTLM LogonType 3, не связанная с входом в домен и не являющаяся анонимным входом, вызывает подозрения. С точки зрения Over-Pass-The-Hash, злоумышленнику требуется обменять хеш на билет аутентификации Kerberos (TGT). Один из способов сделать это — создать "жертвенный" сеанс входа с фиктивными учетными данными (LogonType 9), а затем внедрить хеш в этот сеанс, который запустит процесс аутентификации Kerberos.

IDDS0006Источник и компонент данныхУчетные данные для веб-ресурсов: Использование учетных данных для веб-ресурсовОписание

Отслеживайте нетипичные попытки доступа к веб-сайтам и облачным приложениям, когда один и тот же пользователь подключается из разных мест или с разных устройств, которые не соответствуют ожидаемым конфигурациям.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте недавние попытки входа в систему и использование учетных данных в событиях и проверяйте их на наличие несоответствий. Необычные попытки удаленной аутентификации, связанные с другими подозрительными действиями (например, записью и выполнением бинарных файлов), могут указывать на вредоносную активность.

Примечание. Идентификатор события анализа соответствует событию в журнале безопасности Windows (событие с ИД 4624: вход с учетной записью выполнен успешно). Успешное применение техники "Передача хеша (Pass the Hash)" для перемещения внутри периметра между рабочими станциями генерирует событие с ИД 4624 (информационного уровня) в журнале безопасности Windows. Данное событие покажет попытки входа с аутентификацией NTLM LogonType 3 не через домен и с учетной записью, не соответствующей ANONYMOUS LOGON.

Анализ 1. Успешная попытка входа с локальной учетной записью

(source="*WinEventLog:Security" EventCode="4624") TargetUser= "ANONYMOUS LOGON" AND AuthenticationPackageName="NTLM"

Меры противодействия

IDM1047НазваниеАудитОписание

Администраторы должны проверять все облачные и контейнерные учетные записи, чтобы убедиться в их необходимости и в том, что предоставленные им разрешения соответствуют действительности. По возможности следует отключить возможность запрашивать временные токены учетных записей от имени других учетных записей. Кроме того, администраторы могут использовать инструменты аудита для отслеживания действий, которые могут быть выполнены в результате доступа к OAuth 2.0. Например, отчеты об аудите позволяют администраторам выявлять действия по повышению привилегий, такие как создание ролей или изменение политик, которые могут быть выполнены после получения первоначального доступа.

IDM1027НазваниеПарольные политикиОписание

Создайте и внедрите политику безопасных паролей для учетных записей.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Ограничьте дублирование учетных данных в разных системах, чтобы предотвратить ущерб от компрометации учетных данных и уменьшить возможности злоумышленника по латеральному перемещению между системами.

IDM1015НазваниеКонфигурация Active DirectoryОписание

Настройте Active Directory, чтобы предотвратить использование некоторых техник, используйте фильтрацию SID и прочее.

IDM1013НазваниеРуководство для разработчиков приложенийОписание

По возможности используйте стратегии привязки токенов, например Azure AD Token Protection или OAuth Proof of Possession, которые криптографически связывают токен с секретом. Это может предотвратить использование токена без знания секрета или обладания устройством, к которому привязан токен.

IDM1018НазваниеУправление учетными записямиОписание

Обеспечьте использование принципа минимальных привилегий. Не допускайте, чтобы пользователь домена находился в локальной группе администраторов на нескольких системах.