MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1555.004: Диспетчер учетных данных Windows

Злоумышленники могут извлечь учетные данные из диспетчера учетных данных Windows. Диспетчер учетных данных хранит учетные данные для входа на сайты, в приложения и (или) устройства, запрашивающие аутентификацию через NTLM или Kerberos, в хранилищах учетных данных (ранее — хранилища Windows).

Диспетчер учетных данных Windows хранит учетные данные для веб-ресурсов отдельно от учетных данных для приложений или сетей. Учетные данные из браузеров Internet Explorer и Microsoft Edge сохраняются диспетчером учетных данных в хранилище учетных данных для веб-ресурсов. Учетные данные приложений и сетей сохраняются в хранилище учетных данных Windows.

Хранилища учетных данных сохраняют учетные данные в зашифрованных файлах .vcrd в каталогах %Systemdrive%\Users\\[Username]\AppData\Local\Microsoft\\[Vault/Credentials]\. Ключ шифрования хранится в файле Policy.vpol, который обычно находится в той же папке, что и учетные данные.

Злоумышленникам доступно несколько механизмов получения учетных данных из диспетчера учетных данных Windows. Например, встроенная в Windows утилита vaultcmd.exe выводит список учетных данных, сохраненных в хранилище, через интерфейс командной строки. Злоумышленники также могут читать учетные данные непосредственно из файлов, расположенных в хранилищах учетных данных. Для получения учетных данных из диспетчера учетных данных могут использоваться такие API-функции Windows, как CredEnumerateA.

Злоумышленники могут получить учетные данные из резервных копий. Для резервного копирования и восстановления учетных данных можно воспользоваться командой rundll32.exe keymgr.dll KRShowKeyMgr, после чего нажать соответствующую кнопку в появившемся окне "Сохранение имен пользователей и паролей".

Извлекать пароли из диспетчера учетных данных в открытом виде также можно с помощью инструментов для восстановления паролей.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-765: Credential_Access_to_Passwords_Storage: Обнаружено обращение к файлам, содержащим учетные данные (браузеры, хранилища паролей)
hacking_tools: PT-CR-758: Lazagne_Usage: Обнаружено использование утилиты LaZagne для создания дампа учетных данных

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Consider monitoring file reads to Vault locations, %Systemdrive%\Users\\[Username]\AppData\Local\Microsoft\\[Vault/Credentials]\, for suspicious activity.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes for suspicious activity listing credentials from the Windows Credentials locker (e.g. vaultcmd /listcreds:“Windows Credentials”).

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Consider monitoring API calls such as CredEnumerateA that may list credentials from the Windows Credential Manager.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments for suspicious activity listing credentials from the Windows Credentials locker (e.g. vaultcmd /listcreds:“Windows Credentials”).

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Consider enabling the “Network access: Do not allow storage of passwords and credentials for network authentication” setting that will prevent network credentials from being stored by the Credential Manager.