T1555.003: Учетные данные из браузеров
Злоумышленники могут извлекать учетные данные из определенных файлов в браузерах (конкретные файлы зависят от браузера). Браузеры часто сохраняют такие учетные данные, как имена пользователей и пароли, чтобы пользователю не приходилось вводить их вручную при каждом посещении сайта. Обычно эти учетные данные хранятся в зашифрованном виде в хранилище учетных данных; однако существуют методы их извлечения из браузеров в открытом виде.
Например, в Windows зашифрованные учетные данные можно получить из Google Chrome путем чтения файла базы данных ( AppData\Local\Google\Chrome\User Data\Default\Login Data
) и выполнения SQL-запроса SELECT action_url, username_value, password_value FROM logins;
. Передав зашифрованные учетные данные API-функции Windows CryptUnprotectData
, которая в качестве ключа расшифровки использует кэшированные учетные данные пользователя, можно получить пароль в открытом виде.
Злоумышленники применяли подобные техники в популярных браузерах, таких как FireFox, Safari и Edge. Windows хранит учетные данные Internet Explorer и Microsoft Edge в хранилищах учетных данных под управлением диспетчера учетных данных Windows.
Злоумышленники могут искать распространенные учетные данные в памяти процессов браузера по шаблонам.
Злоумышленники могут попытаться войти в другие системы и (или) учетные записи, воспользовавшись учетными данными, извлеченными из браузера. Если учетные данные, извлеченные из браузеров, используются в том числе для входа в привилегированные учетные записи (например, в учетную запись администратора домена), злоумышленники могут достичь своих целей гораздо быстрее.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-765: Credential_Access_to_Passwords_Storage: Обнаружено обращение к файлам, содержащим учетные данные (браузеры, хранилища паролей)
mitre_attck_lateral_movement: PT-CR-1927: Start_Browser_Pivoting: Запущен браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника
mitre_attck_lateral_movement: PT-CR-1928: Subrule_Browser_Remote_Debugging: Попытка запустить браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника
hacking_tools: PT-CR-758: Lazagne_Usage: Обнаружено использование утилиты LaZagne для создания дампа учетных данных
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Identify web browser files that contain credentials such as Google Chrome’s Login Data database file: |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Обращение к процессу | Описание | Monitor process execution logs to include PowerShell Transcription focusing on those that perform a combination of behaviors including reading web browser process memory, utilizing regular expressions, and those that contain numerous keywords for common web applications (Gmail, Twitter, Office365, etc.). |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Monitor for API calls that may acquire credentials from web browsers by reading files specific to the target browser. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments that may acquire credentials from web browsers by reading files specific to the target browser. |
---|
Меры противодействия
ID | M1027 | Название | Парольные политики | Описание | Organizations may consider weighing the risk of storing credentials in web browsers. If web browser credential disclosure is a significant concern, technical controls, policy, and user training may be used to prevent storage of credentials in web browsers. |
---|