MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1555.003: Учетные данные из браузеров

Злоумышленники могут извлекать учетные данные из определенных файлов в браузерах (конкретные файлы зависят от браузера). Браузеры часто сохраняют такие учетные данные, как имена пользователей и пароли, чтобы пользователю не приходилось вводить их вручную при каждом посещении сайта. Обычно эти учетные данные хранятся в зашифрованном виде в хранилище учетных данных; однако существуют методы их извлечения из браузеров в открытом виде.

Например, в Windows зашифрованные учетные данные можно получить из Google Chrome путем чтения файла базы данных ( AppData\Local\Google\Chrome\User Data\Default\Login Data) и выполнения SQL-запроса SELECT action_url, username_value, password_value FROM logins;. Передав зашифрованные учетные данные API-функции Windows CryptUnprotectData, которая в качестве ключа расшифровки использует кэшированные учетные данные пользователя, можно получить пароль в открытом виде.

Злоумышленники применяли подобные техники в популярных браузерах, таких как FireFox, Safari и Edge. Windows хранит учетные данные Internet Explorer и Microsoft Edge в хранилищах учетных данных под управлением диспетчера учетных данных Windows.

Злоумышленники могут искать распространенные учетные данные в памяти процессов браузера по шаблонам.

Злоумышленники могут попытаться войти в другие системы и (или) учетные записи, воспользовавшись учетными данными, извлеченными из браузера. Если учетные данные, извлеченные из браузеров, используются в том числе для входа в привилегированные учетные записи (например, в учетную запись администратора домена), злоумышленники могут достичь своих целей гораздо быстрее.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-765: Credential_Access_to_Passwords_Storage: Обнаружено обращение к файлам, содержащим учетные данные (браузеры, хранилища паролей)
mitre_attck_lateral_movement: PT-CR-1927: Start_Browser_Pivoting: Запущен браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника
mitre_attck_lateral_movement: PT-CR-1928: Subrule_Browser_Remote_Debugging: Попытка запустить браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника
hacking_tools: PT-CR-758: Lazagne_Usage: Обнаружено использование утилиты LaZagne для создания дампа учетных данных

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Identify web browser files that contain credentials such as Google Chrome’s Login Data database file: AppData\Local\Google\Chrome\User Data\Default\Login Data. Monitor file read events of web browser files that contain credentials, especially when the reading process is unrelated to the subject web browser.

IDDS0009Источник и компонент данныхПроцесс: Обращение к процессуОписание

Monitor process execution logs to include PowerShell Transcription focusing on those that perform a combination of behaviors including reading web browser process memory, utilizing regular expressions, and those that contain numerous keywords for common web applications (Gmail, Twitter, Office365, etc.).

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Monitor for API calls that may acquire credentials from web browsers by reading files specific to the target browser.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments that may acquire credentials from web browsers by reading files specific to the target browser.

Меры противодействия

IDM1027НазваниеПарольные политикиОписание

Organizations may consider weighing the risk of storing credentials in web browsers. If web browser credential disclosure is a significant concern, technical controls, policy, and user training may be used to prevent storage of credentials in web browsers.