T1552.004: Закрытые ключи

Злоумышленники могут искать на скомпрометированных системах файлы сертификатов с закрытыми ключами для недостаточно надежно защищенных учетных данных. Закрытые криптографические ключи и сертификаты используются для аутентификации, шифрования/расшифровки и цифровых подписей. Наиболее распространены ключи и сертификаты с расширениями .key, .pgp, .gpg, .ppk, .p12, .pem, .pfx, .cer, .p7b, .asc.

Злоумышленники могут искать ключи в стандартных расположениях, например SSH-ключи — в ~/.ssh в Unix-подобных системах или в C:\Users\(username)\.ssh\ в ОС Windows. В скомпрометированных системах злоумышленники могут использовать специальные инструменты для поиска ключей и сертификатов шифрования по расширению.

Для устройств, зарегистрированных в Azure AD, создаются ключ устройства и транспортный ключ, которые используются для проверки подлинности устройства. Имея доступ к устройству, злоумышленник может экспортировать эти ключи, чтобы впоследствии имперсонировать это устройство.

С сетевых устройств закрытые ключи можно экспортировать с помощью команд интерпретаторов командной строки сетевых устройств, например crypto pki export.

В некоторых случаях для использования закрытых ключей требуется пароль или парольная фраза, поэтому злоумышленник может попытаться перехватить вводимые данные, чтобы найти пароль в них, или получить пароль методом перебора в автономном режиме. Закрытые ключи могут использоваться для аутентификации в службах удаленного доступа, таких как SSH, или для расшифровки других собранных злоумышленниками данных, например файлов электронной почты.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_cred_access: PT-CR-1692: Unix_Private_Keys_Read: Чтение файла с закрытыми или открытыми ключами в Unix-системе mssql_database: PT-CR-411: MSSQL_Dump_Key_Or_Certificate: Попытка выгрузить ключ шифрования или сертификат базы данных mitre_attck_discovery: PT-CR-2458: Dump_Bitlocker_Keys_From_AD: Попытка доступа к классу ms-FVE-RecoveryInformation и его атрибутам ms-FVE-VolumeGuid, ms-FVE-KeyPackage, ms-FVE-RecoveryPassword и ms-FVE-RecoveryGuid, содержащим информацию о томах, зашифрованных с помощью функции BitLocker в Windows, а также ключи восстановления. Злоумышленник может использовать полученную информацию для расшифровки защищенных данных

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для поиска недостаточно надежно защищенных учетных данных в файлах сертификатов с закрытыми ключами в скомпрометированных системах.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте попытки доступа к файлам и каталогам, связанным с ключами и сертификатами, для обнаружения нетипичных попыток доступа, которые могут являться признаками сбора данных и эксфильтрации.

Меры противодействия

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Проследите, чтобы для папок, содержащих конфиденциальные закрытые ключи, были правильно установлены разрешения во избежание непреднамеренного доступа. Кроме того, на устройствах Cisco установите флаг nonexportable при генерации пары ключей RSA.

IDM1027НазваниеПарольные политикиОписание

Используйте надежные пароли для закрытых ключей, чтобы затруднить их взлом.

IDM1041НазваниеШифрование важной информацииОписание

По возможности храните ключи на отдельном криптографическом оборудовании, а не в локальной системе. Например, в системах Windows для защиты ключей и других конфиденциальных учетных данных используется TPM.

IDM1047НазваниеАудитОписание

Проследите, чтобы доступ к критическим ресурсам был разрешен только авторизованным ключам, и регулярно проверяйте списки доступа.