MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1556.003: Подключаемые модули аутентификации

Злоумышленники могут изменить подключаемые модули аутентификации (PAM) для получения несанкционированного доступа к учетным данным или учетным записям пользователей. PAM — это модульная система файлов конфигурации, библиотек и исполняемых файлов, которые обеспечивают аутентификацию во многих службах. Самый распространенный модуль аутентификации — pam_unix.so, который извлекает, записывает и проверяет аутентификационные данные учетных записей в /etc/passwd и /etc/shadow.

Злоумышленники могут модифицировать подключаемые модули аутентификации для создания бэкдоров. Например, они могут изменить модуль pam_unix.so таким образом, чтобы он принимал произвольные значения в качестве легитимных учетных данных.

Вредоносные модификации подключаемых модулей аутентификации также могут использоваться для кражи учетных данных. Поскольку PAM не хранит пароли, модули могут передавать и принимать значения в открытом виде, и злоумышленники могут внедрять в них код для сбора учетных данных пользователей.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

hashicorp: PT-CR-2138: Hashicorp_Vault_Auth_Method_Modify: Злоумышленники могут включать или изменять доступные методы аутентификации
unix_mitre_attck_cred_access: PT-CR-1695: Unix_PAM_Modify: Изменение и перемещение конфигурационных файлов подключаемого модуля аутентификации. Атакующие могут изменять конфигурацию подключаемых модулей аутентификации, чтобы получить доступ к учетным данным пользователя или авторизоваться без пароля

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте конфигурацию подключаемых модулей аутентификации и пути к ним (например, /etc/pam.d/) на предмет изменений. Для анализа подключаемых модулей аутентификации можно использовать инструменты проверки целостности системы, такие как AIDE, и инструменты мониторинга, такие как auditd.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте попытки входа в разные системы учетных записей, общих для этих систем, — пользовательских, администраторских или учетных записей служб. Примеры: одна учетная запись, которая вошла в несколько систем одновременно; несколько учетных записей, вошедших в систему на одной машине одновременно; попытки входа в необычное (например, когда пользователь отсутствует на работе) или нерабочее время. Подозрительная активность может исходить от интерактивной рабочей сессии или включать использование прав владения процессами для запуска бинарных файлов на удаленной системе определенными учетными записями. Сопоставляйте сведения других систем безопасности с информацией о входе (например, данные о пользователе, который вошел в систему, но не находится в здании и не имеет доступа через VPN).

Меры противодействия

IDM1032НазваниеМногофакторная аутентификацияОписание

Внедрение многофакторной аутентификации (MFA) в организационную политику может значительно снизить риск получения злоумышленником контроля над действительными учетными данными, которые могут быть использованы для дополнительных тактик, таких как первоначальный доступ, боковое перемещение и сбор информации.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Ограничьте доступ к учетной записи root и используйте надлежащие средства разделения привилегий (например, SELinux, grsecurity или AppArmor) и ограничения возможностей повышения привилегий, чтобы не позволять пользователям изменять компоненты PAM.