T1552.004: Закрытые ключи
Злоумышленники могут искать на скомпрометированных системах файлы сертификатов с закрытыми ключами для недостаточно надежно защищенных учетных данных. Закрытые криптографические ключи и сертификаты используются для аутентификации, шифрования/расшифровки и цифровых подписей. Наиболее распространены ключи и сертификаты с расширениями .key, .pgp, .gpg, .ppk, .p12, .pem, .pfx, .cer, .p7b, .asc.
Злоумышленники могут искать ключи в стандартных расположениях, например SSH-ключи — в ~/.ssh в Unix-подобных системах или в C:\Users\(username)\.ssh\ в ОС Windows. В скомпрометированных системах злоумышленники могут использовать специальные инструменты для поиска ключей и сертификатов шифрования по расширению.
Для устройств, зарегистрированных в Azure AD, создаются ключ устройства и транспортный ключ, которые используются для проверки подлинности устройства. Имея доступ к устройству, злоумышленник может экспортировать эти ключи, чтобы впоследствии имперсонировать это устройство.
С сетевых устройств закрытые ключи можно экспортировать с помощью команд интерпретаторов командной строки сетевых устройств, например crypto pki export.
В некоторых случаях для использования закрытых ключей требуется пароль или парольная фраза, поэтому злоумышленник может попытаться перехватить вводимые данные, чтобы найти пароль в них, или получить пароль методом перебора в автономном режиме. Закрытые ключи могут использоваться для аутентификации в службах удаленного доступа, таких как SSH, или для расшифровки других собранных злоумышленниками данных, например файлов электронной почты.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_cred_access: PT-CR-1692: Unix_Private_Keys_Read: Чтение файла с закрытыми или открытыми ключами в Unix-системе mssql_database: PT-CR-411: MSSQL_Dump_Key_Or_Certificate: Попытка выгрузить ключ шифрования или сертификат базы данных mitre_attck_discovery: PT-CR-2458: Dump_Bitlocker_Keys_From_AD: Попытка доступа к классу ms-FVE-RecoveryInformation и его атрибутам ms-FVE-VolumeGuid, ms-FVE-KeyPackage, ms-FVE-RecoveryPassword и ms-FVE-RecoveryGuid, содержащим информацию о томах, зашифрованных с помощью функции BitLocker в Windows, а также ключи восстановления. Злоумышленник может использовать полученную информацию для расшифровки защищенных данных
Способы обнаружения
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для поиска недостаточно надежно защищенных учетных данных в файлах сертификатов с закрытыми ключами в скомпрометированных системах. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте попытки доступа к файлам и каталогам, связанным с ключами и сертификатами, для обнаружения нетипичных попыток доступа, которые могут являться признаками сбора данных и эксфильтрации. |
|---|
Меры противодействия
| ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Проследите, чтобы для папок, содержащих конфиденциальные закрытые ключи, были правильно установлены разрешения во избежание непреднамеренного доступа. Кроме того, на устройствах Cisco установите флаг |
|---|
| ID | M1027 | Название | Парольные политики | Описание | Используйте надежные пароли для закрытых ключей, чтобы затруднить их взлом. |
|---|
| ID | M1041 | Название | Шифрование важной информации | Описание | По возможности храните ключи на отдельном криптографическом оборудовании, а не в локальной системе. Например, в системах Windows для защиты ключей и других конфиденциальных учетных данных используется TPM. |
|---|
| ID | M1047 | Название | Аудит | Описание | Проследите, чтобы доступ к критическим ресурсам был разрешен только авторизованным ключам, и регулярно проверяйте списки доступа. |
|---|