MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1555: Учетные данные из хранилищ паролей

Злоумышленники могут пытаться извлечь учетные данные пользователей из распространенных хранилищ паролей. Пароли могут храниться в разных местах в зависимости от операционной системы или приложения. Существуют также специальные приложения и сервисы для хранения паролей, которые упрощают управление учетными данными и их использование, например менеджеры паролей и облачные хранилища секретов. Злоумышленники могут использовать полученные учетные данные для перемещения внутри периметра сети и доступа к конфиденциальной информации.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-765: Credential_Access_to_Passwords_Storage: Обнаружено обращение к файлам, содержащим учетные данные (браузеры, хранилища паролей)
oracle_database: PT-CR-285: Oracle_Select_table_with_hash: Чтение записей из таблиц, содержащих хеши паролей
postgresql_database: PT-CR-1900: PostgreSQL_Dump_Credentials: Доступ к учетным данным (паролям и (или) хеш-суммам) базы данных может привести к компрометации данных из PostgreSQL
mssql_database: PT-CR-409: MSSQL_dump_credential_hashes: Попытка получить хеш-суммы паролей базы данных
active_directory_attacks: PT-CR-835: gMSA_Password_Access: Получен доступ к атрибутам LDAP, в которых хранятся данные для генерации паролей учетных записей управляемых служб группы (gMSA) в режиме offline. Это сервисные учетные записи, пароли для которых обычно автоматически управляются службой AD
active_directory_attacks: PT-CR-2295: Subrule_gMSA_LDAP_Query: Получен доступ к атрибутам LDAP, в которых хранятся данные для генерации паролей учетных записей управляемых служб группы (gMSA) в режиме offline
mysql_database: PT-CR-615: MySQL_dump_credential_hashes: Обнаружена попытка получить хеш-суммы паролей базы данных
freeipa: PT-CR-2144: FreeIPA_Suspicious_LDAP_Request: LDAP-запрос к чувствительному атрибуту в домене FreeIPA
freeipa: PT-CR-2145: Subrule_FreeIPA_LDAP_Query: LDAP-запрос к домену FreeIPA

Подтехники

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте попытки получения доступа к файлам, с помощью которых злоумышленники могут искать стандартные хранилища паролей с целью получения учетных данных пользователей.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для поиска стандартных хранилищ паролей с целью извлечения учетных данных пользователей.

IDDS0009Источник и компонент данныхПроцесс: Обращение к процессуОписание

Отслеживайте обращения к процессам, с помощью которых злоумышленники могут искать стандартные хранилища паролей с целью получения учетных данных пользователей.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут пытаться извлечь учетные данные пользователей из распространенных хранилищ паролей.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, с помощью которых злоумышленники могут искать стандартные хранилища паролей с целью получения учетных данных пользователей.

IDDS0025Источник и компонент данныхОблачная служба: Получение списка облачных службОписание

Отслеживайте вызовы API и команды CLI, которые пытаются получить список учетных данных из облачного менеджера секретов и извлечь их — такие как get-secret-value в AWS, gcloud secrets describe в GCP и az key vault secret show в Azure. Устанавливайте оповещения о подозрительных случаях использования этих команд, включая нетипично высокое количество запросов к менеджеру секретов со стороны учетной записи или службы.

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Ограничьте количество учетных записей и служб, имеющих право запрашивать информацию из хранилищ паролей, только теми, которые необходимы. Проследите, чтобы учетные записи и службы с правами на запрос хранилищ паролей имели доступ только к тем секретам, которые им необходимы.

IDM1051НазваниеОбновление ПООписание

Регулярно обновляйте менеджеры паролей, используя управление исправлениями для внутренних корпоративных конечных точек и серверов.

IDM1027НазваниеПарольные политикиОписание

Организации могут взвесить риск хранения учетных данных в веб-браузерах. Если раскрытие учетных данных в веб-браузере вызывает серьезную обеспокоенность, для предотвращения хранения учетных данных в веб-браузерах можно использовать технические средства контроля, политику и обучение пользователей.