T1555: Учетные данные из хранилищ паролей
Злоумышленники могут пытаться извлечь учетные данные пользователей из распространенных хранилищ паролей. Пароли могут храниться в разных местах в зависимости от операционной системы или приложения. Существуют также специальные приложения и сервисы для хранения паролей, которые упрощают управление учетными данными и их использование, например менеджеры паролей и облачные хранилища секретов. Злоумышленники могут использовать полученные учетные данные для перемещения внутри периметра сети и доступа к конфиденциальной информации.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-765: Credential_Access_to_Passwords_Storage: Обнаружено обращение к файлам, содержащим учетные данные (браузеры, хранилища паролей)
oracle_database: PT-CR-285: Oracle_Select_table_with_hash: Чтение записей из таблиц, содержащих хеши паролей
postgresql_database: PT-CR-1900: PostgreSQL_Dump_Credentials: Доступ к учетным данным (паролям и (или) хеш-суммам) базы данных может привести к компрометации данных из PostgreSQL
mssql_database: PT-CR-409: MSSQL_dump_credential_hashes: Попытка получить хеш-суммы паролей базы данных
active_directory_attacks: PT-CR-835: gMSA_Password_Access: Получен доступ к атрибутам LDAP, в которых хранятся данные для генерации паролей учетных записей управляемых служб группы (gMSA) в режиме offline. Это сервисные учетные записи, пароли для которых обычно автоматически управляются службой AD
active_directory_attacks: PT-CR-2295: Subrule_gMSA_LDAP_Query: Получен доступ к атрибутам LDAP, в которых хранятся данные для генерации паролей учетных записей управляемых служб группы (gMSA) в режиме offline
mysql_database: PT-CR-615: MySQL_dump_credential_hashes: Обнаружена попытка получить хеш-суммы паролей базы данных
freeipa: PT-CR-2144: FreeIPA_Suspicious_LDAP_Request: LDAP-запрос к чувствительному атрибуту в домене FreeIPA
freeipa: PT-CR-2145: Subrule_FreeIPA_LDAP_Query: LDAP-запрос к домену FreeIPA
Подтехники
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте попытки получения доступа к файлам, с помощью которых злоумышленники могут искать стандартные хранилища паролей с целью получения учетных данных пользователей. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для поиска стандартных хранилищ паролей с целью извлечения учетных данных пользователей. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Обращение к процессу | Описание | Отслеживайте обращения к процессам, с помощью которых злоумышленники могут искать стандартные хранилища паролей с целью получения учетных данных пользователей. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут пытаться извлечь учетные данные пользователей из распространенных хранилищ паролей. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, с помощью которых злоумышленники могут искать стандартные хранилища паролей с целью получения учетных данных пользователей. |
---|
ID | DS0025 | Источник и компонент данных | Облачная служба: Получение списка облачных служб | Описание | Отслеживайте вызовы API и команды CLI, которые пытаются получить список учетных данных из облачного менеджера секретов и извлечь их — такие как |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте количество учетных записей и служб, имеющих право запрашивать информацию из хранилищ паролей, только теми, которые необходимы. Проследите, чтобы учетные записи и службы с правами на запрос хранилищ паролей имели доступ только к тем секретам, которые им необходимы. |
---|
ID | M1051 | Название | Обновление ПО | Описание | Регулярно обновляйте менеджеры паролей, используя управление исправлениями для внутренних корпоративных конечных точек и серверов. |
---|
ID | M1027 | Название | Парольные политики | Описание | Организации могут взвесить риск хранения учетных данных в веб-браузерах. Если раскрытие учетных данных в веб-браузере вызывает серьезную обеспокоенность, для предотвращения хранения учетных данных в веб-браузерах можно использовать технические средства контроля, политику и обучение пользователей. |
---|