Техника на mitre.org

T1555: Учетные данные из хранилищ паролей

Злоумышленники могут пытаться извлечь учетные данные пользователей из распространенных хранилищ паролей. Пароли могут храниться в разных местах в зависимости от операционной системы или приложения. Существуют также специальные приложения и сервисы для хранения паролей, которые упрощают управление учетными данными и их использование, например менеджеры паролей и облачные хранилища секретов. Злоумышленники могут использовать полученные учетные данные для перемещения внутри периметра сети и доступа к конфиденциальной информации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

postgresql_database: PT-CR-1900: PostgreSQL_Dump_Credentials: Доступ к учетным данным (паролям и (или) хеш-суммам) базы данных может привести к компрометации данных из PostgreSQL mitre_attck_cred_access: PT-CR-2493: Subrule_Access_To_Protected_Storage_Share: Злоумышленники могут подключаться к сетевому ресурсу protected_storage, чтобы выполнить действия с зашифрованными данными пользователя с помощью интерфейса DPAPI mitre_attck_cred_access: PT-CR-2428: Access_To_User_Secrets_Via_DPAPI: Попытки доступа к секретам пользователя с помощью механизма DPAPI mitre_attck_cred_access: PT-CR-765: Credential_Access_To_Passwords_Storage: Обнаружено обращение к файлам, содержащим учетные данные (браузеры, хранилища паролей) mysql_database: PT-CR-615: MySQL_Dump_Credential_Hashes: Попытка получить хеш-суммы паролей базы данных mssql_database: PT-CR-409: MSSQL_Dump_Credential_Hashes: Попытка получить хеш-суммы паролей базы данных oracle_database: PT-CR-285: Oracle_Select_Table_With_Hash: Чтение записей из таблиц, содержащих хеши паролей active_directory_attacks: PT-CR-835: GMSA_Password_Access: Получен доступ к атрибутам LDAP, в которых хранятся данные для генерации паролей учетных записей управляемых служб группы (gMSA) в режиме offline. Это сервисные учетные записи, пароли для которых обычно автоматически управляются службой AD active_directory_attacks: PT-CR-2295: Subrule_GMSA_LDAP_Query: Получен доступ к атрибутам LDAP, в которых хранятся данные для генерации паролей учетных записей управляемых служб группы (gMSA) в режиме offline indeed_pam: PT-CR-2888: Indeed_Credentials_Check_After_Policy_Change: Просмотрены учетные данные пользователя или приложения после изменения параметра политики в приложении Indeed PAM freeipa: PT-CR-2144: FreeIPA_Suspicious_LDAP_Request: LDAP-запрос к чувствительному атрибуту в домене FreeIPA

Подтехники

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для поиска стандартных хранилищ паролей с целью извлечения учетных данных пользователей.

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отслеживайте попытки получения доступа к файлам, с помощью которых злоумышленники могут искать стандартные хранилища паролей с целью получения учетных данных пользователей.

ID	DS0025	Источник и компонент данных	Облачная служба: Получение списка облачных служб	Описание	Отслеживайте вызовы API и команды CLI, которые пытаются получить список учетных данных из облачного менеджера секретов и извлечь их — такие как `get-secret-value` в AWS, `gcloud secrets describe` в GCP и `az key vault secret show` в Azure. Устанавливайте оповещения о подозрительных случаях использования этих команд, включая нетипично высокое количество запросов к менеджеру секретов со стороны учетной записи или службы.

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте вызовы API, с помощью которых злоумышленники могут искать стандартные хранилища паролей с целью получения учетных данных пользователей.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут пытаться извлечь учетные данные пользователей из распространенных хранилищ паролей.

ID	DS0009	Источник и компонент данных	Процесс: Обращение к процессу	Описание	Отслеживайте обращения к процессам, с помощью которых злоумышленники могут искать стандартные хранилища паролей с целью получения учетных данных пользователей.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для поиска стандартных хранилищ паролей с целью извлечения учетных данных пользователей.
DS0022	Файл: Доступ к файлу	Отслеживайте попытки получения доступа к файлам, с помощью которых злоумышленники могут искать стандартные хранилища паролей с целью получения учетных данных пользователей.
DS0025	Облачная служба: Получение списка облачных служб	Отслеживайте вызовы API и команды CLI, которые пытаются получить список учетных данных из облачного менеджера секретов и извлечь их — такие как `get-secret-value` в AWS, `gcloud secrets describe` в GCP и `az key vault secret show` в Azure. Устанавливайте оповещения о подозрительных случаях использования этих команд, включая нетипично высокое количество запросов к менеджеру секретов со стороны учетной записи или службы.
DS0009	Процесс: Вызовы API ОС	Отслеживайте вызовы API, с помощью которых злоумышленники могут искать стандартные хранилища паролей с целью получения учетных данных пользователей.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут пытаться извлечь учетные данные пользователей из распространенных хранилищ паролей.
DS0009	Процесс: Обращение к процессу	Отслеживайте обращения к процессам, с помощью которых злоумышленники могут искать стандартные хранилища паролей с целью получения учетных данных пользователей.

Меры противодействия

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Ограничьте количество учетных записей и служб, имеющих право запрашивать информацию из хранилищ паролей, только теми, которые необходимы. Проследите, чтобы учетные записи и службы с правами на запрос хранилищ паролей имели доступ только к тем секретам, которые им необходимы.

ID	M1051	Название	Обновление ПО	Описание	Регулярно обновляйте менеджеры паролей, используя управление исправлениями для внутренних корпоративных конечных точек и серверов.

ID	M1027	Название	Парольные политики	Описание	Организации могут взвесить риск хранения учетных данных в веб-браузерах. Если раскрытие учетных данных в веб-браузере вызывает серьезную обеспокоенность, для предотвращения хранения учетных данных в веб-браузерах можно использовать технические средства контроля, политику и обучение пользователей.

ID	Название	Описание
M1026	Управление привилегированными учетными записями	Ограничьте количество учетных записей и служб, имеющих право запрашивать информацию из хранилищ паролей, только теми, которые необходимы. Проследите, чтобы учетные записи и службы с правами на запрос хранилищ паролей имели доступ только к тем секретам, которые им необходимы.
M1051	Обновление ПО	Регулярно обновляйте менеджеры паролей, используя управление исправлениями для внутренних корпоративных конечных точек и серверов.
M1027	Парольные политики	Организации могут взвесить риск хранения учетных данных в веб-браузерах. Если раскрытие учетных данных в веб-браузере вызывает серьезную обеспокоенность, для предотвращения хранения учетных данных в веб-браузерах можно использовать технические средства контроля, политику и обучение пользователей.