Техника на mitre.org

T1552: Незащищенные учетные данные

Злоумышленники могут искать ненадежно хранимые учетные данные в скомпрометированных системах. Учетные данные могут специально или ошибочно сохраняться в различных расположениях, в том числе в текстовых файлах (например, история команд bash), хранилищах операционной системы или приложений (например, учетные данные в реестре) и других специальных файлах или объектах (например, закрытые ключи).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

enterprise_1c_and_bitrix: PT-CR-673: Enterprise_1C_Disable_User_Password_In_Authentication: Отключен пароль пользователя в системе 1С enterprise_1c_and_bitrix: PT-CR-672: Enterprise_1C_Create_User_Without_Password: Создана учетная запись пользователя без пароля clickhouse: PT-CR-1574: ClickHouse_Create_User_With_Plaintext_Password: Обнаружена попытка создания пользователя с незашифрованным паролем clickhouse: PT-CR-1581: ClickHouse_Create_User_Without_Password: Обнаружена попытка создания пользователя без пароля clickhouse: PT-CR-1572: ClickHouse_Disable_User_Password: Обнаружена попытка отключения пароля для учетной записи пользователя clickhouse: PT-CR-1582: ClickHouse_Modify_Password_To_Plaintext: Обнаружена попытка изменения пароля пользователя на незашифрованный mitre_attck_cred_access: PT-CR-299: LAPS_Enumeration: Поиск пользователей, групп и компьютеров, имеющих доступ к Microsoft LAPS (Local Administrator Password Solution). LAPS автоматически управляет паролем учетной записи локального администратора и создает резервную копию пароля на устройствах, подключенных к службам Active Directory mitre_attck_cred_access: PT-CR-911: Svchost_Memory_Dump: Сохранена информация процесса svchost mitre_attck_cred_access: PT-CR-898: Access_To_Files_Containing_Passwords: Обращение к файлам, возможно содержащим учетные данные mitre_attck_cred_access: PT-CR-768: Intercept_Creds_From_MSTSC: Обнаружена выгрузка учетных данных, использованных в процессе mstsc.exe при RDP подключении

Подтехники

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отслеживайте попытки доступа к файлам, которые могут использоваться для поиска в локальных файловых системах и удаленных общих ресурсах файлов с недостаточно надежно защищенными учетными данными. Отследить попытки доступа к этим файлам сложно, если вы достоверно не знаете о проникновении в систему, однако вы можете отслеживать несанкционированное использование существующих учетных записей.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Аутентификация с помощью учетной записи	Описание	Можно обнаружить использование злоумышленниками учетных данных, например, полученных из существующих учетных записей.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте зарегистрированную в журналах активность, которая может указывать на попытки доступа злоумышленников к данным приложений, особенно аномальную активность, связанную с поиском паролей, и другие артефакты, связанные с учетными данными.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отследить попытки доступа к этим файлам сложно, если вы достоверно не знаете о проникновении в систему, однако вы можете отслеживать несанкционированное использование существующих учетных записей. Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска процессов с целью поиска паролей, по подозрительным словам и регулярным выражениям (например, password, pwd, login, secure или credentials). Подробнее см. в описании техники Существующие учетные записи.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут искать в локальных и удаленных хранилищах файлы с недостаточно защищенными учетными данными. Примечание. События, используемые в псевдокоде, регистрируются в Sysmon (событие с ИД 1: создание процесса) и журнале безопасности Windows (событие с ИД 4688: создание нового процесса). Анализ отслеживает командные строки, выполняющие поиск недостаточно надежно защищенных учетных данных в реестре Windows. Для этого могут использоваться функции поиска в системной утилите Reg, которые ищут строки вроде "password" в ключах и их значениях. Кроме того, для получения дампа учетных данных из различных приложений, например IIS, злоумышленники могут воспользоваться готовым набором инструментов, таким как PowerSploit. Соответственно, этот анализ отслеживает использование утилиты reg.exe с указанной целью, а также запуск нескольких модулей PowerSploit с аналогичной функциональностью. Анализ 1. Учетные данные в файлах и реестре `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") CommandLine="reg query HKLM /f password /t REG_SZ /s" OR CommandLine="reg query HKCU /f password /t REG_SZ /s" OR CommandLine="Get-UnattendedInstallFile" OR CommandLine="*Get-Webconfig" OR CommandLine="Get-ApplicationHost" OR CommandLine="Get-SiteListPassword" OR CommandLine="Get-CachedGPPPassword" OR CommandLine="Get-RegistryAutoLogon"`

ID	DS0024	Источник и компонент данных	Реестр Windows: Доступ к ключу реестра Windows	Описание	Отслеживайте нетипичные попытки доступа к ключам реестра Windows, с помощью которых злоумышленники могут искать недостаточно надежно защищенные учетные данные в скомпрометированной системе.

ID	Источник и компонент данных	Описание
DS0022	Файл: Доступ к файлу	Отслеживайте попытки доступа к файлам, которые могут использоваться для поиска в локальных файловых системах и удаленных общих ресурсах файлов с недостаточно надежно защищенными учетными данными. Отследить попытки доступа к этим файлам сложно, если вы достоверно не знаете о проникновении в систему, однако вы можете отслеживать несанкционированное использование существующих учетных записей.
DS0002	Учетная запись пользователя: Аутентификация с помощью учетной записи	Можно обнаружить использование злоумышленниками учетных данных, например, полученных из существующих учетных записей.
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте зарегистрированную в журналах активность, которая может указывать на попытки доступа злоумышленников к данным приложений, особенно аномальную активность, связанную с поиском паролей, и другие артефакты, связанные с учетными данными.
DS0017	Команда: Выполнение команд	Отследить попытки доступа к этим файлам сложно, если вы достоверно не знаете о проникновении в систему, однако вы можете отслеживать несанкционированное использование существующих учетных записей. Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска процессов с целью поиска паролей, по подозрительным словам и регулярным выражениям (например, password, pwd, login, secure или credentials). Подробнее см. в описании техники Существующие учетные записи.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут искать в локальных и удаленных хранилищах файлы с недостаточно защищенными учетными данными. Примечание. События, используемые в псевдокоде, регистрируются в Sysmon (событие с ИД 1: создание процесса) и журнале безопасности Windows (событие с ИД 4688: создание нового процесса). Анализ отслеживает командные строки, выполняющие поиск недостаточно надежно защищенных учетных данных в реестре Windows. Для этого могут использоваться функции поиска в системной утилите Reg, которые ищут строки вроде "password" в ключах и их значениях. Кроме того, для получения дампа учетных данных из различных приложений, например IIS, злоумышленники могут воспользоваться готовым набором инструментов, таким как PowerSploit. Соответственно, этот анализ отслеживает использование утилиты reg.exe с указанной целью, а также запуск нескольких модулей PowerSploit с аналогичной функциональностью. Анализ 1. Учетные данные в файлах и реестре `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") CommandLine="reg query HKLM /f password /t REG_SZ /s" OR CommandLine="reg query HKCU /f password /t REG_SZ /s" OR CommandLine="Get-UnattendedInstallFile" OR CommandLine="*Get-Webconfig" OR CommandLine="Get-ApplicationHost" OR CommandLine="Get-SiteListPassword" OR CommandLine="Get-CachedGPPPassword" OR CommandLine="Get-RegistryAutoLogon"`
DS0024	Реестр Windows: Доступ к ключу реестра Windows	Отслеживайте нетипичные попытки доступа к ключам реестра Windows, с помощью которых злоумышленники могут искать недостаточно надежно защищенные учетные данные в скомпрометированной системе.

Меры противодействия

ID	M1015	Название	Конфигурация Active Directory	Описание	Удалите уязвимые параметры групповой политики.

ID	M1017	Название	Обучение пользователей	Описание	Проследите, чтобы разработчики и системные администраторы знали о риске, связанном с наличием паролей в открытом виде в файлах конфигурации программного обеспечения, которые могут быть оставлены на конечных устройствах или серверах.

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Ограничьте общие файловые ресурсы определенными каталогами с доступом только для необходимых пользователей.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Используйте принцип наименьших привилегий для привилегированных учетных записей, таких как учетная запись службы в Kubernetes. Например, если модуль не нужен для доступа к API Kubernetes, подумайте об отключении учетной записи службы вообще.

ID	M1027	Название	Парольные политики	Описание	Установите в организации политику, запрещающую хранить пароли в файлах.

ID	M1028	Название	Изменение конфигурации ОС	Описание	Существует несколько способов предотвратить запись истории команд пользователя в его файл .bash_history, включая использование следующих команд: `set +o history` и `set -o history` для возобновления записи; добавление `unset HISTFILE` в файл .bash_rc пользователя; `ln -s /dev/null ~/.bash_history` для записи команд в `/dev/null` вместо этого файла.

ID	M1035	Название	Ограничение доступа к ресурсам по сети	Описание	Ограничьте взаимодействие со службой контейнера управляемыми и защищенными каналами, такими как локальные сокеты Unix или удаленный доступ через SSH. Требуйте безопасного доступа к портам для связи с API по TLS, отключив неаутентифицированный доступ к Docker API и Kubernetes API Server. В кластерах Kubernetes, развернутых в облачных средах, используйте собственные функции облачной платформы для ограничения диапазонов IP-адресов, которым разрешен доступ к серверу API. По возможности включите доступ к API Kubernetes по принципу "точно в срок" (JIT), чтобы установить дополнительные ограничения на доступ.

ID	M1037	Название	Фильтрация сетевого трафика	Описание	Ограничьте доступ к API метаданных экземпляра. Правильно настроенный брандмауэр веб-приложений (WAF) может помочь предотвратить использование внешними злоумышленниками атак подделки запросов на стороне сервера (SSRF), которые позволяют получить доступ к API метаданных облачного экземпляра.

ID	M1041	Название	Шифрование важной информации	Описание	По возможности храните ключи на отдельном криптографическом оборудовании, а не в локальной системе. Например, в системах Windows для защиты ключей и других конфиденциальных учетных данных используется TPM.

ID	M1047	Название	Аудит	Описание	Заблаговременно ищите файлы, содержащие пароли, и принимайте меры по снижению риска атаки при их обнаружении.

ID	M1051	Название	Обновление ПО	Описание	Примените исправление KB2962486, которое предотвращает хранение учетных данных в GPP.

ID	Название	Описание
M1015	Конфигурация Active Directory	Удалите уязвимые параметры групповой политики.
M1017	Обучение пользователей	Проследите, чтобы разработчики и системные администраторы знали о риске, связанном с наличием паролей в открытом виде в файлах конфигурации программного обеспечения, которые могут быть оставлены на конечных устройствах или серверах.
M1022	Ограничение разрешений для файлов и каталогов	Ограничьте общие файловые ресурсы определенными каталогами с доступом только для необходимых пользователей.
M1026	Управление привилегированными учетными записями	Используйте принцип наименьших привилегий для привилегированных учетных записей, таких как учетная запись службы в Kubernetes. Например, если модуль не нужен для доступа к API Kubernetes, подумайте об отключении учетной записи службы вообще.
M1027	Парольные политики	Установите в организации политику, запрещающую хранить пароли в файлах.
M1028	Изменение конфигурации ОС	Существует несколько способов предотвратить запись истории команд пользователя в его файл .bash_history, включая использование следующих команд: `set +o history` и `set -o history` для возобновления записи; добавление `unset HISTFILE` в файл .bash_rc пользователя; `ln -s /dev/null ~/.bash_history` для записи команд в `/dev/null` вместо этого файла.
M1035	Ограничение доступа к ресурсам по сети	Ограничьте взаимодействие со службой контейнера управляемыми и защищенными каналами, такими как локальные сокеты Unix или удаленный доступ через SSH. Требуйте безопасного доступа к портам для связи с API по TLS, отключив неаутентифицированный доступ к Docker API и Kubernetes API Server. В кластерах Kubernetes, развернутых в облачных средах, используйте собственные функции облачной платформы для ограничения диапазонов IP-адресов, которым разрешен доступ к серверу API. По возможности включите доступ к API Kubernetes по принципу "точно в срок" (JIT), чтобы установить дополнительные ограничения на доступ.
M1037	Фильтрация сетевого трафика	Ограничьте доступ к API метаданных экземпляра. Правильно настроенный брандмауэр веб-приложений (WAF) может помочь предотвратить использование внешними злоумышленниками атак подделки запросов на стороне сервера (SSRF), которые позволяют получить доступ к API метаданных облачного экземпляра.
M1041	Шифрование важной информации	По возможности храните ключи на отдельном криптографическом оборудовании, а не в локальной системе. Например, в системах Windows для защиты ключей и других конфиденциальных учетных данных используется TPM.
M1047	Аудит	Заблаговременно ищите файлы, содержащие пароли, и принимайте меры по снижению риска атаки при их обнаружении.
M1051	Обновление ПО	Примените исправление KB2962486, которое предотвращает хранение учетных данных в GPP.