T1556: Изменение процесса аутентификации
Злоумышленники могут изменить механизмы и процессы аутентификации для получения несанкционированного доступа к учетным данным или записям пользователей. Аутентификация осуществляется с помощью таких механизмов, как процесс LSASS и диспетчер учетных записей безопасности (SAM) в Windows, подключаемые модули аутентификации в Unix-подобных системах и плагины авторизации в MacOS, которые собирают, хранят и проверяют учетные данные. Изменив процесс аутентификации, злоумышленник сможет выполнить аутентификацию в службе или системе без использования существующих учетных записей.
Злоумышленники могут внести вредоносные изменения в этот процесс, чтобы извлечь учетные данные или обойти механизмы аутентификации. Скомпрометированные учетные данные или полученный несанкционированным путем доступ могут использоваться для обхода систем управления доступом внутри сети и получения постоянного доступа к удаленным системам и доступным извне службам, таким как VPN, веб-клиент Outlook или удаленные рабочие столы.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
enterprise_1c_and_bitrix: PT-CR-1723: Enterprise_1C_Standard_Password_Set: Включена аутентификация по паролю для пользователя в системе 1С mssql_database: PT-CR-412: MSSQL_Enable_Mixed_Authentication: Попытка включить режим смешанной аутентификации в базе данных zabbix: PT-CR-2046: Zabbix_Auth_Settings_Changed: Изменены параметры проверки подлинности в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или ослабить защиту системы
Подтехники
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Включите аудит безопасности, чтобы собирать журналы решений для гибридной идентификации. Например, отслеживайте события входа в Azure AD Application Proxy Connector, которые обычно генерируются только при добавлении агента сквозной аутентификации . Если используются службы федерации Active Directory, отслеживайте в журналах события с ИД 501, которые содержат атрибуты расширенного использования ключа, указанные в утверждении, и включите оповещения об обнаружении значений, которые не используются в вашей среде. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Обращение к процессу | Описание | Отслеживайте нетипичные взаимодействия с процессом аутентификации на контроллере домена, которые могут использоваться для обхода стандартных механизмов аутентификации и получения доступа к учетным записям. |
---|
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Отслеживайте недавние попытки входа в систему с учетными записями, которые имеют доступ к нескольким системам, будь то учетные записи пользователей, администраторов или служб. Примеры: одна учетная запись, которая вошла в несколько систем одновременно; несколько учетных записей, вошедших в систему на одной машине одновременно; попытки входа в необычное (например, когда пользователь отсутствует на работе) или нерабочее время. Подозрительная активность может исходить от интерактивной рабочей сессии или включать использование прав владения процессами для запуска бинарных файлов на удаленной системе определенными учетными записями. Сопоставляйте сведения других систем безопасности с информацией о входе (например, данные о пользователе, который вошел в систему, но не находится в здании и не имеет доступа через VPN). |
---|
ID | DS0026 | Источник и компонент данных | Active Directory: Изменение объекта Active Directory | Описание | Отслеживайте изменения в настройках безопасности, связанных с политиками условного доступа Azure AD. Например, их можно найти в журнале аудита Azure AD по названию операции: |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API OpenProcess, которые могут быть использованы для манипулирования процессом lsass.exe, запущенным на контроллере домена. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Создание ключа реестра Windows | Описание | Отслеживайте добавление ключей реестра для поставщиков сети (например, |
---|
ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте запись новых, незнакомых DLL-файлов на контроллере домена и (или) локальном компьютере. Фильтры паролей будут отображаться как автоматически запускаемые DLL, загруженные процессом lsass.exe. |
---|
ID | DS0025 | Источник и компонент данных | Облачная служба: Изменения в облачной службе | Описание | Отслеживайте изменения в политиках условного доступа, используемых поставщиками удостоверений SaaS (software as a service), внутренними удостоверениями IaaS (infrastructure as a service) и системами управления доступом. |
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Аутентификация с помощью учетной записи | Описание | Отслеживайте случаи аутентификации в учетных записях, когда аутентифицирующая сущность не получает учетные данные MFA со стороны учетной записи пользователя. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут встраивать вредоносные DLL-библиотеки поставщиков сети. |
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Изменения в учетной записи | Описание | Отслеживайте регистрацию устройств и учетных записей пользователей с альтернативными настройками безопасности, не требующими ввода учетных данных MFA для успешного входа. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в конфигурации и путях к модулям (например, /etc/pam.d/) для подключаемых модулей аутентификации. Для анализа подключаемых модулей аутентификации можно использовать инструменты проверки целостности системы, такие как AIDE, и инструменты мониторинга, такие как auditd. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в записях реестра поставщиков сети (например, |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте права на изменение политик условного доступа, оставив лишь самые необходимые. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Ограничьте доступ на запись к каталогу |
---|
ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | Ограничьте права доступа к реестру, чтобы запретить модификацию конфиденциальных разделов реестра, таких как |
---|
ID | M1025 | Название | Целостность привилегированных процессов | Описание | Включение функций, таких как Protected Process Light (PPL), для LSA. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте круг людей с доступом к учетным записям администраторов, следуя принципу минимальных привилегий. Предотвратите дублирование учетных данных в системах администраторов и привилегированных учетных записей, особенно между сетевыми и несетевыми платформами, такими как серверы или конечные точки. |
---|
ID | M1027 | Название | Парольные политики | Описание | Проследите, чтобы свойство |
---|
ID | M1028 | Название | Изменение конфигурации ОС | Описание | Проследите, чтобы были зарегистрированы только действительные фильтры паролей. DLL-библиотеки фильтра должны присутствовать в каталоге установки Windows (по умолчанию C:\Windows\System32) контроллера домена и (или) локального компьютера с соответствующей записью в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages. |
---|
ID | M1032 | Название | Многофакторная аутентификация | Описание | Используйте многофакторную аутентификацию для учетных записей пользователей и привилегированных учетных записей. Большинство встроенных сетевых устройств поддерживают TACACS+ и (или) RADIUS. Следуйте предписанным производителем передовым методам усиления контроля доступа . |
---|
ID | M1047 | Название | Аудит | Описание | Периодически проверяйте используемое гибридное решение для идентификации на наличие несоответствий. Например, просмотрите все агенты PTA на портале управления Azure Management Portal, чтобы выявить нежелательные или неутвержденные агенты. Если используется ADFS, проверьте DLL и исполняемые файлы в каталогах AD FS и Global Assembly Cache, чтобы убедиться, что они подписаны Microsoft. Обратите внимание, что в некоторых случаях бинарные файлы могут быть подписаны каталогом, что может привести к тому, что при просмотре свойств файла он будет казаться неподписанным. |
---|