Техника на mitre.org

T1552.001: Учетные данные в файлах

Злоумышленники могут искать в локальных файловых системах и удаленных общих ресурсах файлы, содержащие недостаточно надежно защищенные учетные данные, например файлы, созданные пользователями для хранения собственных учетных данных, общие хранилища паролей групп пользователей, файлы конфигурации, содержащие пароли для доступа к системе или сервису, а также исходный код или бинарные файлы, содержащие пароли.

Злоумышленники могут извлечь пароли из резервных копий или сохраненных виртуальных машин с помощью техники Получение дампа учетных данных. Пароли также могут быть получены из параметров групповой политики, сохраненных на контроллере домена Windows.

В облачных и (или) контейнерных средах учетные данные пользователей и служб часто хранятся в локальных файлах конфигурации и учетных данных, а также в параметрах команд развертывания, зарегистрированных в журналах контейнеров. Злоумышленники могут скопировать эти файлы и использовать их на другом устройстве либо прочитать и использовать их содержимое для аутентификации без копирования файлов.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

yandex_cloud: PT-CR-821: Yandex_Cloud_Virtual_Machine_Metadata_Contains_Sensitive_Value: В пользовательских метаданных виртуальной машины обнаружены чувствительные данные unix_mitre_attck_collection: PT-CR-1685: Unix_Sensitive_File_Read: Чтение чувствительных файлов Unix unix_mitre_attck_cred_access: PT-CR-1696: Unix_Cred_Files_Read: Чтение файлов ОС Unix, содержащих учетные данные freeipa: PT-CR-2577: FreeIPA_Cache_Credentials_Access: Доступ к файлу cache_credentials, содержащему кэшированные учетные данные пользователей в домене freeipa: PT-CR-2576: FreeIPA_Id2entry_Dump: Доступ к файлу id2entry.db, содержащему информацию о пользователях в домене vk_cloud: PT-CR-2103: VK_Cloud_VM_Metadata_Contains_Sensitive_Value: Конфиденциальные данные обнаружены в пользовательских метаданных виртуальной машины, что может привести к компрометации облачной инфраструктуры mitre_attck_cred_access: PT-CR-300: Search_Stored_Credentials: Пользователь запустил утилиту или скрипт для поиска паролей mitre_attck_cred_access: PT-CR-1013: PuntoSwitcher_Diary_Open: Возможное использование дневника Punto Switcher в качестве клавиатурного шпиона mitre_attck_cred_access: PT-CR-1827: IIS_Credential_Dumping: Получение доступа к учетным данным IIS mitre_attck_cred_access: PT-CR-1721: ETWHash_Dump: Возможная активность утилиты ETWHash mitre_attck_cred_access: PT-CR-898: Access_To_Files_Containing_Passwords: Обращение к файлам, возможно содержащим учетные данные hacking_tools: PT-CR-758: Lazagne_Usage: Обнаружено использование утилиты LaZagne для создания дампа учетных данных

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут искать в локальных и удаленных хранилищах файлы с недостаточно защищенными учетными данными.

Примечание. В псевдокоде указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Аналитика отслеживает командные строки, выполняющие поиск недостаточно надежно защищенных учетных данных в реестре Windows. Для этого могут использоваться функции поиска в системной утилите reg, которые ищут строки вроде "password" в ключах и их значениях. Кроме того, для получения дампа учетных данных из различных приложений, например IIS, злоумышленники могут воспользоваться готовым набором инструментов, таким как PowerSploit. Соответственно, эта аналитика отслеживает использование утилиты reg.exe с указанной целью, а также запуск нескольких модулей PowerSploit с аналогичной функциональностью.

Аналитика 1. Учетные данные в файлах и реестре

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688")
CommandLine="reg query HKLM /f password /t REG_SZ /s*" OR CommandLine="reg* query HKCU /f password /t REG_SZ /s" OR CommandLine="Get-UnattendedInstallFile" OR CommandLine="*Get-Webconfig" OR CommandLine="Get-ApplicationHost" OR CommandLine="Get-SiteListPassword" OR CommandLine="Get-CachedGPPPassword" OR CommandLine="Get-RegistryAutoLogon"

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отследить попытки доступа к этим файлам сложно, если вы достоверно не знаете о проникновении в систему, однако вы можете отслеживать попытки поиска и использования учетных данных злоумышленниками. Отслеживайте выполнение команд с аргументами, которые могут использоваться для запуска процессов с целью поиска паролей, по подозрительным словам и регулярным выражениям (например, password, pwd, login, secure или credentials). Подробнее см. в описании техники Существующие учетные записи.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте попытки доступа к файлам, которые могут использоваться для поиска в локальных файловых системах и удаленных общих ресурсах файлов с недостаточно надежно защищенными учетными данными. Отследить попытки доступа к этим файлам сложно, если вы достоверно не знаете о проникновении в систему, однако вы можете отслеживать попытки поиска и использования учетных данных злоумышленниками.

Меры противодействия

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Ограничьте общие файловые ресурсы определенными каталогами с доступом только для необходимых пользователей.

IDM1017НазваниеОбучение пользователейОписание

Проследите, чтобы разработчики и системные администраторы знали о риске, связанном с наличием паролей в открытом виде в файлах конфигурации программного обеспечения, которые могут быть оставлены на конечных устройствах или серверах.

IDM1047НазваниеАудитОписание

Заблаговременно ищите файлы, содержащие пароли, и принимайте меры по снижению риска атаки при их обнаружении.

IDM1027НазваниеПарольные политикиОписание

Установите в организации политику, запрещающую хранить пароли в файлах.