T1550.001: Токен доступа к приложению
Злоумышленники могут использовать украденные токены доступа к приложениям, чтобы обходить стандартный процесс аутентификации и получать доступ к защищенным учетным записям, информации или службам в удаленных системах. Как правило, злоумышленники крадут эти токены у пользователей или из служб и используют их для входа вместо учетных данных.
Токены доступа к приложениям используются для отправки авторизованных запросов к API от имени пользователя или службы, обычно для доступа к ресурсам в облачных, контейнеризованных и SaaS-средах.
Одним из распространенных фреймворков авторизации, выдающих пользователям токены для доступа к системам, является OAuth. Для проверки личности пользователя и определения действий, которые он может выполнять, могут использоваться разные аналогичные фреймворки. После идентификации пользователя токен позволяет совершать действия от его имени без передачи учетных данных. Таким образом, злоумышленник может получить доступ к ресурсам других сайтов через вредоносное приложение, используя скомпрометированный токен.
Например, имея токен доступа OAuth к облачному сервису электронной почты и получив токен обновления, обеспечивающий фоновую авторизацию, вредоносное приложение сможет получить долгосрочный доступ к учетной записи пользователя. Токен доступа OAuth позволяет злоумышленнику воспользоваться доступными пользователю функциями REST API, например, для поиска по электронной почте или извлечения списка контактов.
Использование скомпрометированных токенов доступа может быть первым этапом компрометации других сервисов. Например, если токен предоставляет доступ к основной электронной почте жертвы, злоумышленник может получить доступ ко всем другим сервисам, на которые подписан пользователь, воспользовавшись процедурами восстановления пароля. В средах AWS и GCP злоумышленники могут запросить краткосрочный токен доступа, который позволит им воспользоваться привилегиями другого пользователя, чтобы запрашивать данные или выполнять действия, которые были недоступны исходной учетной записи. Если разрешения на использование этой функции настроены неправильно, например всем пользователям разрешено запрашивать токен доступа к определенной учетной записи, злоумышленник может получить первоначальный доступ к облачной учетной записи или повысить уровень привилегий.
Токен прямого доступа к API сводит на нет эффективность второго фактора аутентификации и позволяет злоумышленникам пользоваться учетной записью даже в случае смены пароля. Например, скомпрометировав пользовательские учетные данные AWS API в среде AWS, злоумышленник может использовать вызов API sts:GetFederationToken, чтобы создать сеанс федеративного пользователя с теми же правами, что и у исходного пользователя, которые могут оставаться в силе даже в случае деактивации исходной учетной записи. Обнаружить неправомерное получение доступа через API сложно даже поставщику сервиса, поскольку такой доступ не всегда можно отличить от легитимного процесса.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_lateral_movement: PT-CR-956: Disable_Smartcard: Отключение опции Smart Card в реестре
Способы обнаружения
| ID | DS0006 | Источник и компонент данных | Учетные данные для веб-ресурсов: Использование учетных данных для веб-ресурсов | Описание | Отслеживайте случаи, когда токены доступа к приложениям используются для взаимодействия с ресурсами или службами, не связанными с обычными рабочими процессами организации. Например, приложение, не предназначенное для чтения электронной почты, получает доступ к почтовым ящикам и может похитить конфиденциальные данные. Или же токен, связанный с учетной записью облачного сервиса, используется для API-запросов с IP-адреса, находящегося за пределами облачной среды. |
|---|
Меры противодействия
| ID | M1041 | Название | Шифрование важной информации | Описание | Шифрование файлов должно применяться в электронной почте, содержащей конфиденциальную информацию, которая может быть получена через доступ к почтовым службам. |
|---|
| ID | M1047 | Название | Аудит | Описание | Администраторы должны проверять все облачные и контейнерные учетные записи, чтобы убедиться в их необходимости и в том, что предоставленные им разрешения соответствуют действительности. По возможности следует отключить возможность запрашивать временные токены учетных записей от имени других учетных записей. Кроме того, администраторы могут использовать инструменты аудита для отслеживания действий, которые могут быть выполнены в результате доступа к OAuth 2.0. Например, отчеты об аудите позволяют администраторам выявлять действия по повышению привилегий, такие как создание ролей или изменение политик, которые могут быть выполнены после получения первоначального доступа. |
|---|
| ID | M1021 | Название | Ограничения для веб-контента | Описание | Измените корпоративные политики, чтобы ограничить типы сторонних приложений, которые могут быть добавлены в любой онлайн-сервис или инструмент, связанный с информацией, учетными записями или сетью компании (например, Google, Microsoft, Dropbox, Basecamp, GitHub). Однако вместо того, чтобы давать общие указания по этому вопросу, будьте предельно конкретны: включите список одобренных приложений и отклоните все остальные, не входящие в список. Администраторы также могут блокировать согласие конечного пользователя через административные порталы, такие как Azure Portal, запрещая пользователям авторизовать сторонние приложения через OAuth и принудительно запрашивая согласие администратора. |
|---|
| ID | M1013 | Название | Руководство для разработчиков приложений | Описание | По возможности используйте стратегии привязки токенов, например Azure AD Token Protection или OAuth Proof of Possession, которые криптографически связывают токен с секретом. Это может предотвратить использование токена без знания секрета или обладания устройством, к которому привязан токен. |
|---|