MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1555.001: Связка ключей

Злоумышленники могут получить учетные данные из связки ключей. Связка ключей (Keychain) — это система управления учетными данными в macOS, которая хранит имена учетных записей, пароли, закрытые ключи, сертификаты, конфиденциальные данные приложений, платежные данные и защищенные заметки. Существует три типа связок ключей: "Вход", "Система" и "Локальные элементы" (iCloud). По умолчанию используется связка ключей "Вход", в которой хранятся пароли и данные пользователя. Связка ключей "Система" хранит элементы, используемые операционной системой, например элементы с общим доступом, размещенные на узле. Связка ключей iCloud используется для элементов, которые синхронизируются с облачным сервисом Apple iCloud.

Связки ключей можно просматривать и редактировать через приложение "Связка ключей" или с помощью утилиты командной строки security. Файлы связок ключей расположены в каталогах ~/Library/Keychains/, /Library/Keychains/ и /Network/Library/Keychains/.

Злоумышленники могут извлечь учетные данные пользователя из хранилища или памяти связок ключей. Например, команда security dump-keychain –d создаст дамп всех учетных данных, сохраненных в связке ключей "Вход" в каталоге ~/Library/Keychains/login.keychain-db. Злоумышленники также могут прочитать эти учетные данные непосредственно из файла ~/Library/Keychains/login.keychain. Оба метода требуют ввода пароля, причем по умолчанию паролем для связки ключей "Вход" является пароль текущего пользователя для входа в систему macOS.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

hacking_tools: PT-CR-758: Lazagne_Usage: Обнаружено использование утилиты LaZagne для создания дампа учетных данных

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Monitor for Keychain files being accessed that may be related to malicious credential collection.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor processes spawned by command line utilities to manipulate keychains directly, such as security, combined with arguments to collect passwords, such as dump-keychain -d.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Monitor for Keychain Services API calls, specifically legacy extensions such as SecKeychainFindInternetPassword, that may collect Keychain data from a system to acquire credentials.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands with arguments that may be used to collect Keychain data from a system to acquire credentials.

Меры противодействия

IDM1027НазваниеПарольные политикиОписание

The password for the user's login keychain can be changed from the user's login password. This increases the complexity for an adversary because they need to know an additional password.