T1555.005: Менеджеры паролей
Злоумышленники могут извлекать учетные данные пользователя из сторонних менеджеров паролей. Менеджеры паролей — это приложения, которые хранят пользовательские пароли, как правило, в зашифрованной базе данных. Большинство менеджеров открывают доступ к базе сохраненных учетных данных после ввода мастер-пароля. После того как база будет разблокирована, эти учетные данные могут копироваться в память. Такие базы данных могут храниться на диске в виде файлов.
Злоумышленники могут получить учетные данные пользователей, сохраненные в менеджере паролей, путем извлечения мастер-пароля и (или) учетных данных из памяти в открытом виде. Для извлечения учетных данных из памяти они могут воспользоваться техникой Эксплуатация уязвимостей для получения учетных данных. Для получения мастер-пароля злоумышленники также могут воспользоваться техникой Угадывание пароля.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
hashicorp: PT-CR-2141: Hashicorp_Vault_Infrastructure_Discovery: Злоумышленники могут выполнять разведку инфраструктуры системы для определения возможных дальнейших действий mitre_attck_cred_access: PT-CR-765: Credential_Access_To_Passwords_Storage: Обнаружено обращение к файлам, содержащим учетные данные (браузеры, хранилища паролей) mitre_attck_cred_access: PT-CR-2457: Passwork_Credential_Collection: Пользователь получил доступ к аномально большому количеству паролей за короткий промежуток времени. Это может быть признаком действий злоумышленников, получивших доступ к хранилищу паролей пользователя mitre_attck_cred_access: PT-CR-769: KeePass_Keys_Extraction: Обнаружено извлечение мастер-ключа из хранилища паролей KeePass
Способы обнаружения
| ID | DS0009 | Источник и компонент данных | Процесс: Обращение к процессу | Описание | Отслеживайте обращения к процессам, с помощью которых злоумышленники могут извлекать учетные данные пользователей из сторонних менеджеров паролей. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, с помощью которых злоумышленники могут искать стандартные хранилища паролей с целью получения учетных данных пользователей. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте попытки чтения файлов, с помощью которых злоумышленники могут извлекать учетные данные пользователя из сторонних менеджеров паролей. |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, с помощью которых злоумышленники могут извлекать учетные данные пользователей из сторонних менеджеров паролей . |
|---|
Меры противодействия
| ID | M1051 | Название | Обновление ПО | Описание | Регулярно обновляйте менеджеры паролей, используя управление исправлениями для внутренних корпоративных конечных точек и серверов. |
|---|
| ID | M1054 | Название | Изменение конфигурации ПО | Описание | По возможности повторно блокируйте менеджеры паролей после короткого тайм-аута, чтобы ограничить время пребывания учетных данных в открытом виде в памяти расшифрованных баз данных. |
|---|
| ID | M1027 | Название | Парольные политики | Описание | Обратитесь к рекомендациям NIST при создании политик паролей для мастер-паролей. |
|---|