T1552.006: Параметры групповой политики
Злоумышленники могут попытаться найти незащищенные учетные данные в параметрах групповой политики. Параметры групповой политики — это инструменты, которые позволяют администраторам создавать доменные политики, содержащие данные учетных записей. Эти политики позволяют им настраивать локальные учетные записи.
Групповые политики сохраняются в общий ресурс SYSVOL на контроллере домена, то есть любой пользователь домена может просмотреть SYSVOL и расшифровать пароль с помощью общедоступного AES-ключа.
Для извлечения и расшифровки файла с паролями из XML-файлов, содержащих параметры групповой политики, могут использоваться следующие инструменты и сценарии:
- модуль постэксплуатации Metasploit:
post/windows/gather/credentials/gpp
- Get-GPPPassword
- gpprefdecrypt.py
Злоумышленники могут использовать следующую команду для извлечения списка XML-файлов, содержащих параметры групповой политики, из общего ресурса SYSVOL: dir /s * .xml
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-898: Access_To_Files_Containing_Passwords: Обращение к файлам, возможно содержащим учетные данные
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте попытки доступа к SYSVOL, которые связаны с поиском файлов XML. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для поиска данных SYSVOL и (или) XML-файлов, содержащих параметры групповой политики, особенно на скомпрометированных контроллерах домена. |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | Найдите в SYSVOL все существующие GGP, которые могут содержать учетные данные, и удалите их. |
---|
ID | M1051 | Название | Обновление ПО | Описание | Примените исправление KB2962486, которое предотвращает хранение учетных данных в GPP. |
---|
ID | M1015 | Название | Конфигурация Active Directory | Описание | Удалите уязвимые параметры групповой политики. |
---|