T1555.003: Учетные данные из браузеров
Злоумышленники могут извлекать учетные данные из определенных файлов в браузерах (конкретные файлы зависят от браузера). Браузеры часто сохраняют такие учетные данные, как имена пользователей и пароли, чтобы пользователю не приходилось вводить их вручную при каждом посещении сайта. Обычно эти учетные данные хранятся в зашифрованном виде в хранилище учетных данных; однако существуют методы их извлечения из браузеров в открытом виде.
Например, в Windows зашифрованные учетные данные можно получить из Google Chrome путем чтения файла базы данных ( AppData\Local\Google\Chrome\User Data\Default\Login Data) и выполнения SQL-запроса SELECT action_url, username_value, password_value FROM logins;. Передав зашифрованные учетные данные API-функции Windows CryptUnprotectData, которая в качестве ключа расшифровки использует кэшированные учетные данные пользователя, можно получить пароль в открытом виде.
Злоумышленники применяли подобные техники в популярных браузерах, таких как FireFox, Safari и Edge. Windows хранит учетные данные Internet Explorer и Microsoft Edge в хранилищах учетных данных под управлением диспетчера учетных данных Windows.
Злоумышленники могут искать распространенные учетные данные в памяти процессов браузера по шаблонам.
Злоумышленники могут попытаться войти в другие системы и (или) учетные записи, воспользовавшись учетными данными, извлеченными из браузера. Если учетные данные, извлеченные из браузеров, используются в том числе для входа в привилегированные учетные записи (например, в учетную запись администратора домена), злоумышленники могут достичь своих целей гораздо быстрее.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-765: Credential_Access_To_Passwords_Storage: Обнаружено обращение к файлам, содержащим учетные данные (браузеры, хранилища паролей) mitre_attck_lateral_movement: PT-CR-1927: Start_Browser_Pivoting: Запущен браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника mitre_attck_lateral_movement: PT-CR-1928: Subrule_Browser_Remote_Debugging: Попытка запустить браузер с функцией удаленной отладки, что может быть использовано для переадресации трафика на машину злоумышленника hacking_tools: PT-CR-758: Lazagne_Usage: Обнаружено использование утилиты LaZagne для создания дампа учетных данных
Способы обнаружения
| ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, с помощью которых можно извлекать учетные данные из браузеров, считывая специфичные для целевого браузера файлы. |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, с помощью которых можно извлекать учетные данные из браузеров, считывая специфичные для целевого браузера файлы. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Обращение к процессу | Описание | Отслеживайте журналы выполнения процессов, особенно транскрипции PowerShell, обращая внимание на процессы, которые выполняют несколько действий, таких как чтение памяти браузера или использование регулярных выражений. Также следите за процессами, в которых часто упоминаются ключевые слова, связанные с популярными веб-приложениями (Gmail, Twitter, Microsoft 365 и другие). |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Найдите файлы браузера, которые содержат учетные данные, включая базу данных Login Data для Google Chrome: |
|---|
Меры противодействия
| ID | M1027 | Название | Парольные политики | Описание | Организации могут взвесить риск хранения учетных данных в веб-браузерах. Если раскрытие учетных данных в веб-браузере вызывает серьезную обеспокоенность, для предотвращения хранения учетных данных в веб-браузерах можно использовать технические средства контроля, политику и обучение пользователей. |
|---|