Техника на mitre.org

T1552.002: Учетные данные в реестре

Злоумышленники могут искать недостаточно надежно защищенные учетные данные в реестре скомпрометированной системы. Реестр Windows хранит данные о конфигурации, которые могут использоваться системой или другими программами. Злоумышленники могут искать в реестре сохраненные учетные данные и пароли, которые используются другими программами или службами. Такие учетные данные могут использоваться для автоматического входа в систему.

Примеры команд для поиска ключей реестра, содержащих пароли :

  • куст Local Machine: reg query HKLM /f password /t REG_SZ /s
  • куст Current User: reg query HKCU /f password /t REG_SZ /s

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-300: Search_Stored_Credentials: Пользователь запустил утилиту или скрипт для поиска паролей mitre_attck_cred_access: PT-CR-657: Reading_Registry_Objects: Обнаружен запрос от процесса к объектам реестра, содержащим учетные данные пользователей

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов приложениями, которые могут направлять запросы к реестру, например reg, а также параметры команд, которые могут использоваться для поиска учетных данных. Чтобы уменьшить количество ложных срабатываний, сопоставляйте эту активность с другими подозрительными действиями, которые могут указывать на текущую атаку.

Примечание. В псевдокоде указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Аналитика отслеживает командные строки, выполняющие поиск недостаточно надежно защищенных учетных данных в реестре Windows. Для этого могут использоваться функции поиска в системной утилите reg, которые ищут строки вроде "password" в ключах и их значениях. Кроме того, для получения дампа учетных данных из различных приложений, например IIS, злоумышленники могут воспользоваться готовым набором инструментов, таким как PowerSploit. Соответственно, эта аналитика отслеживает использование утилиты reg.exe с указанной целью, а также запуск нескольких модулей PowerSploit с аналогичной функциональностью.

Аналитика 1. Учетные данные в файлах и реестре

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688")
CommandLine="reg query HKLM /f password /t REG_SZ /s*" OR CommandLine="reg* query HKCU /f password /t REG_SZ /s" OR CommandLine="Get-UnattendedInstallFile" OR CommandLine="*Get-Webconfig" OR CommandLine="Get-ApplicationHost" OR CommandLine="Get-SiteListPassword" OR CommandLine="Get-CachedGPPPassword" OR CommandLine="Get-RegistryAutoLogon"

IDDS0024Источник и компонент данныхРеестр Windows: Доступ к ключу реестра WindowsОписание

Отслеживайте нетипичные попытки доступа к ключам реестра Windows, с помощью которых злоумышленники могут искать недостаточно надежно защищенные учетные данные в реестре скомпрометированной системы.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для поиска недостаточно надежно защищенных учетных данных в реестре скомпрометированной системы.

Меры противодействия

IDM1027НазваниеПарольные политикиОписание

Не храните учетные данные в реестре.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Если программное обеспечение должно хранить учетные данные в реестре, проследите, чтобы связанные с ними учетные записи имели ограниченные права, не позволяющие злоумышленнику совершить вредоносные действия, даже если он завладеет этими учетными данными.

IDM1047НазваниеАудитОписание

Заблаговременно ищите учетные данные в реестре и старайтесь устранить связанный с ними риск.