T1552.006: Параметры групповой политики

Злоумышленники могут попытаться найти незащищенные учетные данные в параметрах групповой политики. Параметры групповой политики — это инструменты, которые позволяют администраторам создавать доменные политики, содержащие данные учетных записей. Эти политики позволяют им настраивать локальные учетные записи.

Групповые политики сохраняются в общий ресурс SYSVOL на контроллере домена, то есть любой пользователь домена может просмотреть SYSVOL и расшифровать пароль с помощью общедоступного AES-ключа.

Для извлечения и расшифровки файла с паролями из XML-файлов, содержащих параметры групповой политики, могут использоваться следующие инструменты и сценарии:

  • модуль постэксплуатации Metasploit: post/windows/gather/credentials/gpp
  • Get-GPPPassword
  • gpprefdecrypt.py

Злоумышленники могут использовать следующую команду для извлечения списка XML-файлов, содержащих параметры групповой политики, из общего ресурса SYSVOL: dir /s * .xml

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-898: Access_To_Files_Containing_Passwords: Обращение к файлам, возможно содержащим учетные данные

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте попытки доступа к SYSVOL, которые связаны с поиском файлов XML.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для поиска данных SYSVOL и (или) XML-файлов, содержащих параметры групповой политики, особенно на скомпрометированных контроллерах домена.

Меры противодействия

IDM1047НазваниеАудитОписание

Найдите в SYSVOL все существующие GGP, которые могут содержать учетные данные, и удалите их.

IDM1051НазваниеОбновление ПООписание

Примените исправление KB2962486, которое предотвращает хранение учетных данных в GPP.

IDM1015НазваниеКонфигурация Active DirectoryОписание

Удалите уязвимые параметры групповой политики.