T1555.001: Связка ключей

Злоумышленники могут получить учетные данные из связки ключей. Связка ключей (Keychain) — это система управления учетными данными в macOS, которая хранит имена учетных записей, пароли, закрытые ключи, сертификаты, конфиденциальные данные приложений, платежные данные и защищенные заметки. Существует три типа связок ключей: "Вход", "Система" и "Локальные элементы" (iCloud). По умолчанию используется связка ключей "Вход", в которой хранятся пароли и данные пользователя. Связка ключей "Система" хранит элементы, используемые операционной системой, например элементы с общим доступом, размещенные на узле. Связка ключей iCloud используется для элементов, которые синхронизируются с облачным сервисом Apple iCloud.

Связки ключей можно просматривать и редактировать через приложение "Связка ключей" или с помощью утилиты командной строки security. Файлы связок ключей расположены в каталогах ~/Library/Keychains/, /Library/Keychains/ и /Network/Library/Keychains/.

Злоумышленники могут извлечь учетные данные пользователя из хранилища или памяти связок ключей. Например, команда security dump-keychain –d создаст дамп всех учетных данных, сохраненных в связке ключей "Вход" в каталоге ~/Library/Keychains/login.keychain-db. Злоумышленники также могут прочитать эти учетные данные непосредственно из файла ~/Library/Keychains/login.keychain. Оба метода требуют ввода пароля, причем по умолчанию паролем для связки ключей "Вход" является пароль текущего пользователя для входа в систему macOS.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

hacking_tools: PT-CR-758: Lazagne_Usage: Обнаружено использование утилиты LaZagne для создания дампа учетных данных

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Доступ к файлу	Описание	Отслеживайте попытки доступа к файлам связки ключей — с их помощью злоумышленники могут собирать учетные данные.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для извлечения учетных данных из связки ключей системы.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте процессы, запущенные утилитами командной строки для прямого управления связками ключей, например, с использованием команды `security` и аргументов вроде `dump-keychain -d` для сбора паролей.

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте вызовы API службы связки ключей, особенно устаревшие расширения, такие как `SecKeychainFindInternetPassword`, которые могут извлекать учетные данные из связки ключей системы.

ID	Источник и компонент данных	Описание
DS0022	Файл: Доступ к файлу	Отслеживайте попытки доступа к файлам связки ключей — с их помощью злоумышленники могут собирать учетные данные.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для извлечения учетных данных из связки ключей системы.
DS0009	Процесс: Создание процесса	Отслеживайте процессы, запущенные утилитами командной строки для прямого управления связками ключей, например, с использованием команды `security` и аргументов вроде `dump-keychain -d` для сбора паролей.
DS0009	Процесс: Вызовы API ОС	Отслеживайте вызовы API службы связки ключей, особенно устаревшие расширения, такие как `SecKeychainFindInternetPassword`, которые могут извлекать учетные данные из связки ключей системы.

Меры противодействия

ID	M1027	Название	Парольные политики	Описание	Пароль для связки ключей пользователя может быть изменен по сравнению с его паролем для входа в систему. Это увеличивает сложность для злоумышленника, поскольку ему необходимо знать дополнительный пароль.

ID	Название	Описание
M1027	Парольные политики	Пароль для связки ключей пользователя может быть изменен по сравнению с его паролем для входа в систему. Это увеличивает сложность для злоумышленника, поскольку ему необходимо знать дополнительный пароль.