T1555.001: Связка ключей
Злоумышленники могут получить учетные данные из связки ключей. Связка ключей (Keychain) — это система управления учетными данными в macOS, которая хранит имена учетных записей, пароли, закрытые ключи, сертификаты, конфиденциальные данные приложений, платежные данные и защищенные заметки. Существует три типа связок ключей: "Вход", "Система" и "Локальные элементы" (iCloud). По умолчанию используется связка ключей "Вход", в которой хранятся пароли и данные пользователя. Связка ключей "Система" хранит элементы, используемые операционной системой, например элементы с общим доступом, размещенные на узле. Связка ключей iCloud используется для элементов, которые синхронизируются с облачным сервисом Apple iCloud.
Связки ключей можно просматривать и редактировать через приложение "Связка ключей" или с помощью утилиты командной строки security
. Файлы связок ключей расположены в каталогах ~/Library/Keychains/
, /Library/Keychains/
и /Network/Library/Keychains/
.
Злоумышленники могут извлечь учетные данные пользователя из хранилища или памяти связок ключей. Например, команда security dump-keychain –d
создаст дамп всех учетных данных, сохраненных в связке ключей "Вход" в каталоге ~/Library/Keychains/login.keychain-db
. Злоумышленники также могут прочитать эти учетные данные непосредственно из файла ~/Library/Keychains/login.keychain
. Оба метода требуют ввода пароля, причем по умолчанию паролем для связки ключей "Вход" является пароль текущего пользователя для входа в систему macOS.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
hacking_tools: PT-CR-758: Lazagne_Usage: Обнаружено использование утилиты LaZagne для создания дампа учетных данных
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Monitor for Keychain files being accessed that may be related to malicious credential collection. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor processes spawned by command line utilities to manipulate keychains directly, such as |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Monitor for Keychain Services API calls, specifically legacy extensions such as |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands with arguments that may be used to collect Keychain data from a system to acquire credentials. |
---|
Меры противодействия
ID | M1027 | Название | Парольные политики | Описание | The password for the user's login keychain can be changed from the user's login password. This increases the complexity for an adversary because they need to know an additional password. |
---|