T1556: Изменение процесса аутентификации

Злоумышленники могут изменить механизмы и процессы аутентификации для получения несанкционированного доступа к учетным данным или записям пользователей. Аутентификация осуществляется с помощью таких механизмов, как процесс LSASS и диспетчер учетных записей безопасности (SAM) в Windows, подключаемые модули аутентификации в Unix-подобных системах и плагины авторизации в MacOS, которые собирают, хранят и проверяют учетные данные. Изменив процесс аутентификации, злоумышленник сможет выполнить аутентификацию в службе или системе без использования существующих учетных записей.

Злоумышленники могут внести вредоносные изменения в этот процесс, чтобы извлечь учетные данные или обойти механизмы аутентификации. Скомпрометированные учетные данные или полученный несанкционированным путем доступ могут использоваться для обхода систем управления доступом внутри сети и получения постоянного доступа к удаленным системам и доступным извне службам, таким как VPN, веб-клиент Outlook или удаленные рабочие столы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

enterprise_1c_and_bitrix: PT-CR-1723: Enterprise_1C_Standard_Password_Set: Включена аутентификация по паролю для пользователя в системе 1С mssql_database: PT-CR-412: MSSQL_Enable_Mixed_Authentication: Попытка включить режим смешанной аутентификации в базе данных zabbix: PT-CR-2046: Zabbix_Auth_Settings_Changed: Изменены параметры проверки подлинности в системе Zabbix. Это может быть действием злоумышленника с целью повысить привилегии или ослабить защиту системы

Подтехники

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Включите аудит безопасности, чтобы собирать журналы решений для гибридной идентификации. Например, отслеживайте события входа в Azure AD Application Proxy Connector, которые обычно генерируются только при добавлении агента сквозной аутентификации . Если используются службы федерации Active Directory, отслеживайте в журналах события с ИД 501, которые содержат атрибуты расширенного использования ключа, указанные в утверждении, и включите оповещения об обнаружении значений, которые не используются в вашей среде.

IDDS0009Источник и компонент данныхПроцесс: Обращение к процессуОписание

Отслеживайте нетипичные взаимодействия с процессом аутентификации на контроллере домена, которые могут использоваться для обхода стандартных механизмов аутентификации и получения доступа к учетным записям.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте недавние попытки входа в систему с учетными записями, которые имеют доступ к нескольким системам, будь то учетные записи пользователей, администраторов или служб. Примеры: одна учетная запись, которая вошла в несколько систем одновременно; несколько учетных записей, вошедших в систему на одной машине одновременно; попытки входа в необычное (например, когда пользователь отсутствует на работе) или нерабочее время. Подозрительная активность может исходить от интерактивной рабочей сессии или включать использование прав владения процессами для запуска бинарных файлов на удаленной системе определенными учетными записями. Сопоставляйте сведения других систем безопасности с информацией о входе (например, данные о пользователе, который вошел в систему, но не находится в здании и не имеет доступа через VPN).

IDDS0026Источник и компонент данныхActive Directory: Изменение объекта Active DirectoryОписание

Отслеживайте изменения в настройках безопасности, связанных с политиками условного доступа Azure AD. Например, их можно найти в журнале аудита Azure AD по названию операции: Update Conditional Access policy (Обновление политики условного доступа).

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API OpenProcess, которые могут быть использованы для манипулирования процессом lsass.exe, запущенным на контроллере домена.

IDDS0024Источник и компонент данныхРеестр Windows: Создание ключа реестра WindowsОписание

Отслеживайте добавление ключей реестра для поставщиков сети (например, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<ИмяПоставщикаСети>\NetworkProvider).

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте запись новых, незнакомых DLL-файлов на контроллере домена и (или) локальном компьютере. Фильтры паролей будут отображаться как автоматически запускаемые DLL, загруженные процессом lsass.exe.

IDDS0025Источник и компонент данныхОблачная служба: Изменения в облачной службеОписание

Отслеживайте изменения в политиках условного доступа, используемых поставщиками удостоверений SaaS (software as a service), внутренними удостоверениями IaaS (infrastructure as a service) и системами управления доступом.

IDDS0002Источник и компонент данныхУчетная запись пользователя: Аутентификация с помощью учетной записиОписание

Отслеживайте случаи аутентификации в учетных записях, когда аутентифицирующая сущность не получает учетные данные MFA со стороны учетной записи пользователя.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут встраивать вредоносные DLL-библиотеки поставщиков сети.

IDDS0002Источник и компонент данныхУчетная запись пользователя: Изменения в учетной записиОписание

Отслеживайте регистрацию устройств и учетных записей пользователей с альтернативными настройками безопасности, не требующими ввода учетных данных MFA для успешного входа.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в конфигурации и путях к модулям (например, /etc/pam.d/) для подключаемых модулей аутентификации. Для анализа подключаемых модулей аутентификации можно использовать инструменты проверки целостности системы, такие как AIDE, и инструменты мониторинга, такие как auditd.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в записях реестра поставщиков сети (например, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order), чтобы сопоставить и рассмотреть DLL-библиотеки, на которые указывают эти значения.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте права на изменение политик условного доступа, оставив лишь самые необходимые.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Ограничьте доступ на запись к каталогу /Library/Security/SecurityAgentPlugins.

IDM1024НазваниеОграничение прав доступа к рееструОписание

Ограничьте права доступа к реестру, чтобы запретить модификацию конфиденциальных разделов реестра, таких как HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order.

IDM1025НазваниеЦелостность привилегированных процессовОписание

Включение функций, таких как Protected Process Light (PPL), для LSA.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Ограничьте круг людей с доступом к учетным записям администраторов, следуя принципу минимальных привилегий. Предотвратите дублирование учетных данных в системах администраторов и привилегированных учетных записей, особенно между сетевыми и несетевыми платформами, такими как серверы или конечные точки.

IDM1027НазваниеПарольные политикиОписание

Проследите, чтобы свойство AllowReversiblePasswordEncryption было установлено в положение disabled, если нет требований приложения.

IDM1028НазваниеИзменение конфигурации ОСОписание

Проследите, чтобы были зарегистрированы только действительные фильтры паролей. DLL-библиотеки фильтра должны присутствовать в каталоге установки Windows (по умолчанию C:\Windows\System32) контроллера домена и (или) локального компьютера с соответствующей записью в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages.

IDM1032НазваниеМногофакторная аутентификацияОписание

Используйте многофакторную аутентификацию для учетных записей пользователей и привилегированных учетных записей. Большинство встроенных сетевых устройств поддерживают TACACS+ и (или) RADIUS. Следуйте предписанным производителем передовым методам усиления контроля доступа .

IDM1047НазваниеАудитОписание

Периодически проверяйте используемое гибридное решение для идентификации на наличие несоответствий. Например, просмотрите все агенты PTA на портале управления Azure Management Portal, чтобы выявить нежелательные или неутвержденные агенты. Если используется ADFS, проверьте DLL и исполняемые файлы в каталогах AD FS и Global Assembly Cache, чтобы убедиться, что они подписаны Microsoft. Обратите внимание, что в некоторых случаях бинарные файлы могут быть подписаны каталогом, что может привести к тому, что при просмотре свойств файла он будет казаться неподписанным.