T1555.004: Диспетчер учетных данных Windows
Злоумышленники могут извлечь учетные данные из диспетчера учетных данных Windows. Диспетчер учетных данных хранит учетные данные для входа на сайты, в приложения и (или) устройства, запрашивающие аутентификацию через NTLM или Kerberos, в хранилищах учетных данных (ранее — хранилища Windows).
Диспетчер учетных данных Windows хранит учетные данные для веб-ресурсов отдельно от учетных данных для приложений или сетей. Учетные данные из браузеров Internet Explorer и Microsoft Edge сохраняются диспетчером учетных данных в хранилище учетных данных для веб-ресурсов. Учетные данные приложений и сетей сохраняются в хранилище учетных данных Windows.
Хранилища учетных данных сохраняют учетные данные в зашифрованных файлах .vcrd в каталогах %Systemdrive%\Users\\[Username]\AppData\Local\Microsoft\\[Vault/Credentials]\. Ключ шифрования хранится в файле Policy.vpol, который обычно находится в той же папке, что и учетные данные.
Злоумышленникам доступно несколько механизмов получения учетных данных из диспетчера учетных данных Windows. Например, встроенная в Windows утилита vaultcmd.exe выводит список учетных данных, сохраненных в хранилище, через интерфейс командной строки. Злоумышленники также могут читать учетные данные непосредственно из файлов, расположенных в хранилищах учетных данных. Для получения учетных данных из диспетчера учетных данных могут использоваться такие API-функции Windows, как CredEnumerateA.
Злоумышленники могут получить учетные данные из резервных копий. Для резервного копирования и восстановления учетных данных можно воспользоваться командой rundll32.exe keymgr.dll KRShowKeyMgr, после чего нажать соответствующую кнопку в появившемся окне "Сохранение имен пользователей и паролей".
Извлекать пароли из диспетчера учетных данных в открытом виде также можно с помощью инструментов для восстановления паролей.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-765: Credential_Access_To_Passwords_Storage: Обнаружено обращение к файлам, содержащим учетные данные (браузеры, хранилища паролей) hacking_tools: PT-CR-758: Lazagne_Usage: Обнаружено использование утилиты LaZagne для создания дампа учетных данных
Способы обнаружения
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд и их аргументы на предмет подозрительного извлечения учетных данных из хранилища учетных данных Windows (например, |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов на предмет подозрительного извлечения учетных данных из хранилища учетных данных Windows (например, |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | По возможности отслеживайте попытки чтения файлов, расположенных в каталогах Vault ( |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | По возможности отслеживайте вызовы API, такие как |
|---|
Меры противодействия
| ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | По возможности включите параметр "Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности", который предотвратит хранение сетевых учетных данных менеджером учетных данных. |
|---|