T1552.004: Закрытые ключи
Злоумышленники могут искать на скомпрометированных системах файлы сертификатов с закрытыми ключами для недостаточно надежно защищенных учетных данных. Закрытые криптографические ключи и сертификаты используются для аутентификации, шифрования/расшифровки и цифровых подписей. Наиболее распространены ключи и сертификаты с расширениями .key, .pgp, .gpg, .ppk, .p12, .pem, .pfx, .cer, .p7b, .asc.
Злоумышленники могут искать ключи в стандартных расположениях, например SSH-ключи — в ~/.ssh
в Unix-подобных системах или в C:\Users\(username)\.ssh\
в ОС Windows. В скомпрометированных системах злоумышленники могут использовать специальные инструменты для поиска ключей и сертификатов шифрования по расширению.
Для устройств, зарегистрированных в Azure AD, создаются ключ устройства и транспортный ключ, которые используются для проверки подлинности устройства. Имея доступ к устройству, злоумышленник может экспортировать эти ключи, чтобы впоследствии имперсонировать это устройство.
С сетевых устройств закрытые ключи можно экспортировать с помощью команд интерпретаторов командной строки сетевых устройств, например crypto pki export
.
В некоторых случаях для использования закрытых ключей требуется пароль или парольная фраза, поэтому злоумышленник может попытаться перехватить вводимые данные, чтобы найти пароль в них, или получить пароль методом перебора в автономном режиме. Закрытые ключи могут использоваться для аутентификации в службах удаленного доступа, таких как SSH, или для расшифровки других собранных злоумышленниками данных, например файлов электронной почты.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mssql_database: PT-CR-411: MSSQL_dump_key_or_certificate: Попытка выгрузить ключ шифрования или сертификат базы данных
unix_mitre_attck_cred_access: PT-CR-1692: Unix_Private_Keys_Read: Чтение файлов закрытых ключей в Unix-системах
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may search for private key certificate files on compromised systems for insecurely stored credentials. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Monitor access to files and directories related to cryptographic keys and certificates as a means for potentially detecting access patterns that may indicate collection and exfiltration activity. |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | Ensure only authorized keys are allowed access to critical resources and audit access lists regularly. |
---|
ID | M1041 | Название | Шифрование важной информации | Описание | When possible, store keys on separate cryptographic hardware instead of on the local system. For example, on Windows systems use a TPM to secure keys and other sensitive credential material. |
---|
ID | M1027 | Название | Парольные политики | Описание | Use strong passphrases for private keys to make cracking difficult. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Ensure permissions are properly set on folders containing sensitive private keys to prevent unintended access. Additionally, on Cisco devices, set the |
---|