Техника на mitre.org

T1556.001: Аутентификация на контроллере домена

Злоумышленники могут модифицировать процесс аутентификации на контроллере домена, чтобы обойти стандартные механизмы аутентификации и получить доступ к учетным записям.

Для этого может использоваться вредоносное ПО, которое внедряет фиктивные учетные данные в процесс аутентификации на контроллере домена, обеспечивая возможность несанкционированного доступа к учетной записи и (или) учетным данным любого пользователя (например, с помощью ПО типа Skeleton Key). Skeleton Key внедряет в процесс аутентификации на контроллере домена (LSASS) учетные данные, которые позволяют злоумышленникам обойти стандартную систему аутентификации. После внедрения злоумышленники могут использовать подставной пароль для успешной аутентификации от имени любого пользователя домена (до тех пор, пока учетные данные не будут удалены из памяти при перезагрузке контроллера домена). Таким образом, в средах с однофакторной аутентификацией злоумышленники могут получить неограниченный доступ к хостам и (или) ресурсам.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

active_directory_attacks: PT-CR-834: Enable_SAN_Flag_CA_Policy: На сервере сертификатов установлен флаг EDITF_ATTRIBUTESUBJECTALTNAME2, позволяющий любому пользователю добавить атрибут Subject Alternative Name в запрос на подпись сертификата. Использование этого флага позволит злоумышленнику пройти проверку подлинности от имени другого пользователя домена, в том числе администратора домена

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте вызовы API OpenProcess, которые могут быть использованы для манипулирования процессом lsass.exe, запущенным на контроллере домена.

ID	DS0009	Источник и компонент данных	Процесс: Обращение к процессу	Описание	Отслеживайте нетипичные взаимодействия с процессом аутентификации на контроллере домена, которые могут использоваться для обхода стандартных механизмов аутентификации и получения доступа к учетным записям.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте изменения в функциях, экспортированных из системных DLL-библиотек, которые обеспечивают аутентификацию (таких как cryptdll.dll и samsrv.dll).

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте попытки входа в разные системы учетных записей, общих для этих систем, — пользовательских, администраторских или учетных записей служб. Примеры: одна учетная запись, которая вошла в несколько систем одновременно; несколько учетных записей, вошедших в систему на одной машине одновременно; попытки входа в необычное (например, когда пользователь отсутствует на работе) или нерабочее время. Подозрительная активность может исходить от интерактивной рабочей сессии или включать использование прав владения процессами для запуска бинарных файлов на удаленной системе определенными учетными записями. Сопоставляйте сведения других систем безопасности с информацией о входе (например, данные о пользователе, который вошел в систему, но не находится в здании и не имеет доступа через VPN). Создавайте надежные политики аудита активности учетных записей в организации, охватывающие службы, доступные извне.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Вызовы API ОС	Отслеживайте вызовы API OpenProcess, которые могут быть использованы для манипулирования процессом lsass.exe, запущенным на контроллере домена.
DS0009	Процесс: Обращение к процессу	Отслеживайте нетипичные взаимодействия с процессом аутентификации на контроллере домена, которые могут использоваться для обхода стандартных механизмов аутентификации и получения доступа к учетным записям.
DS0022	Файл: Изменение файла	Отслеживайте изменения в функциях, экспортированных из системных DLL-библиотек, которые обеспечивают аутентификацию (таких как cryptdll.dll и samsrv.dll).
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте попытки входа в разные системы учетных записей, общих для этих систем, — пользовательских, администраторских или учетных записей служб. Примеры: одна учетная запись, которая вошла в несколько систем одновременно; несколько учетных записей, вошедших в систему на одной машине одновременно; попытки входа в необычное (например, когда пользователь отсутствует на работе) или нерабочее время. Подозрительная активность может исходить от интерактивной рабочей сессии или включать использование прав владения процессами для запуска бинарных файлов на удаленной системе определенными учетными записями. Сопоставляйте сведения других систем безопасности с информацией о входе (например, данные о пользователе, который вошел в систему, но не находится в здании и не имеет доступа через VPN). Создавайте надежные политики аудита активности учетных записей в организации, охватывающие службы, доступные извне.

Меры противодействия

ID	M1032	Название	Многофакторная аутентификация	Описание	Внедрение многофакторной аутентификации (MFA) в организационную политику может значительно снизить риск получения злоумышленником контроля над действительными учетными данными, которые могут быть использованы для дополнительных тактик, таких как первоначальный доступ, боковое перемещение и сбор информации. MFA также можно использовать для ограничения доступа к облачным ресурсам и API.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Регулярно проверяйте доменные и локальные учетные записи, а также уровни их разрешений, чтобы выявить ситуации, в которых злоумышленник может получить широкий доступ, завладев учетными данными привилегированной учетной записи . Эти аудиты также должны включать в себя проверку того, были ли включены учетные записи по умолчанию или были ли созданы новые локальные учетные записи, которые не были авторизованы. Следуйте передовым методам разработки и администрирования корпоративной сети, чтобы ограничить использование привилегированных учетных записей на всех административных уровнях .

ID	M1025	Название	Целостность привилегированных процессов	Описание	Включение функций, таких как Protected Process Light (PPL), для LSA.

ID	Название	Описание
M1032	Многофакторная аутентификация	Внедрение многофакторной аутентификации (MFA) в организационную политику может значительно снизить риск получения злоумышленником контроля над действительными учетными данными, которые могут быть использованы для дополнительных тактик, таких как первоначальный доступ, боковое перемещение и сбор информации. MFA также можно использовать для ограничения доступа к облачным ресурсам и API.
M1026	Управление привилегированными учетными записями	Регулярно проверяйте доменные и локальные учетные записи, а также уровни их разрешений, чтобы выявить ситуации, в которых злоумышленник может получить широкий доступ, завладев учетными данными привилегированной учетной записи . Эти аудиты также должны включать в себя проверку того, были ли включены учетные записи по умолчанию или были ли созданы новые локальные учетные записи, которые не были авторизованы. Следуйте передовым методам разработки и администрирования корпоративной сети, чтобы ограничить использование привилегированных учетных записей на всех административных уровнях .
M1025	Целостность привилегированных процессов	Включение функций, таких как Protected Process Light (PPL), для LSA.