T1555.004: Диспетчер учетных данных Windows
Злоумышленники могут извлечь учетные данные из диспетчера учетных данных Windows. Диспетчер учетных данных хранит учетные данные для входа на сайты, в приложения и (или) устройства, запрашивающие аутентификацию через NTLM или Kerberos, в хранилищах учетных данных (ранее — хранилища Windows).
Диспетчер учетных данных Windows хранит учетные данные для веб-ресурсов отдельно от учетных данных для приложений или сетей. Учетные данные из браузеров Internet Explorer и Microsoft Edge сохраняются диспетчером учетных данных в хранилище учетных данных для веб-ресурсов. Учетные данные приложений и сетей сохраняются в хранилище учетных данных Windows.
Хранилища учетных данных сохраняют учетные данные в зашифрованных файлах .vcrd
в каталогах %Systemdrive%\Users\\[Username]\AppData\Local\Microsoft\\[Vault/Credentials]\
. Ключ шифрования хранится в файле Policy.vpol
, который обычно находится в той же папке, что и учетные данные.
Злоумышленникам доступно несколько механизмов получения учетных данных из диспетчера учетных данных Windows. Например, встроенная в Windows утилита vaultcmd.exe
выводит список учетных данных, сохраненных в хранилище, через интерфейс командной строки. Злоумышленники также могут читать учетные данные непосредственно из файлов, расположенных в хранилищах учетных данных. Для получения учетных данных из диспетчера учетных данных могут использоваться такие API-функции Windows, как CredEnumerateA
.
Злоумышленники могут получить учетные данные из резервных копий. Для резервного копирования и восстановления учетных данных можно воспользоваться командой rundll32.exe keymgr.dll KRShowKeyMgr
, после чего нажать соответствующую кнопку в появившемся окне "Сохранение имен пользователей и паролей".
Извлекать пароли из диспетчера учетных данных в открытом виде также можно с помощью инструментов для восстановления паролей.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-765: Credential_Access_to_Passwords_Storage: Обнаружено обращение к файлам, содержащим учетные данные (браузеры, хранилища паролей)
hacking_tools: PT-CR-758: Lazagne_Usage: Обнаружено использование утилиты LaZagne для создания дампа учетных данных
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Consider monitoring file reads to Vault locations, |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor newly executed processes for suspicious activity listing credentials from the Windows Credentials locker (e.g. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Consider monitoring API calls such as |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments for suspicious activity listing credentials from the Windows Credentials locker (e.g. |
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Consider enabling the “Network access: Do not allow storage of passwords and credentials for network authentication” setting that will prevent network credentials from being stored by the Credential Manager. |
---|