MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1552.004: Закрытые ключи

Злоумышленники могут искать на скомпрометированных системах файлы сертификатов с закрытыми ключами для недостаточно надежно защищенных учетных данных. Закрытые криптографические ключи и сертификаты используются для аутентификации, шифрования/расшифровки и цифровых подписей. Наиболее распространены ключи и сертификаты с расширениями .key, .pgp, .gpg, .ppk, .p12, .pem, .pfx, .cer, .p7b, .asc.

Злоумышленники могут искать ключи в стандартных расположениях, например SSH-ключи — в ~/.ssh в Unix-подобных системах или в C:\Users\(username)\.ssh\ в ОС Windows. В скомпрометированных системах злоумышленники могут использовать специальные инструменты для поиска ключей и сертификатов шифрования по расширению.

Для устройств, зарегистрированных в Azure AD, создаются ключ устройства и транспортный ключ, которые используются для проверки подлинности устройства. Имея доступ к устройству, злоумышленник может экспортировать эти ключи, чтобы впоследствии имперсонировать это устройство.

С сетевых устройств закрытые ключи можно экспортировать с помощью команд интерпретаторов командной строки сетевых устройств, например crypto pki export.

В некоторых случаях для использования закрытых ключей требуется пароль или парольная фраза, поэтому злоумышленник может попытаться перехватить вводимые данные, чтобы найти пароль в них, или получить пароль методом перебора в автономном режиме. Закрытые ключи могут использоваться для аутентификации в службах удаленного доступа, таких как SSH, или для расшифровки других собранных злоумышленниками данных, например файлов электронной почты.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mssql_database: PT-CR-411: MSSQL_dump_key_or_certificate: Попытка выгрузить ключ шифрования или сертификат базы данных
unix_mitre_attck_cred_access: PT-CR-1692: Unix_Private_Keys_Read: Чтение файлов закрытых ключей в Unix-системах

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may search for private key certificate files on compromised systems for insecurely stored credentials.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Monitor access to files and directories related to cryptographic keys and certificates as a means for potentially detecting access patterns that may indicate collection and exfiltration activity.

Меры противодействия

IDM1047НазваниеАудитОписание

Ensure only authorized keys are allowed access to critical resources and audit access lists regularly.

IDM1041НазваниеШифрование важной информацииОписание

When possible, store keys on separate cryptographic hardware instead of on the local system. For example, on Windows systems use a TPM to secure keys and other sensitive credential material.

IDM1027НазваниеПарольные политикиОписание

Use strong passphrases for private keys to make cracking difficult.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Ensure permissions are properly set on folders containing sensitive private keys to prevent unintended access. Additionally, on Cisco devices, set the nonexportable flag during RSA key pair generation.