T1556.003: Подключаемые модули аутентификации
Злоумышленники могут изменить подключаемые модули аутентификации (PAM) для получения несанкционированного доступа к учетным данным или учетным записям пользователей. PAM — это модульная система файлов конфигурации, библиотек и исполняемых файлов, которые обеспечивают аутентификацию во многих службах. Самый распространенный модуль аутентификации — pam_unix.so
, который извлекает, записывает и проверяет аутентификационные данные учетных записей в /etc/passwd
и /etc/shadow
.
Злоумышленники могут модифицировать подключаемые модули аутентификации для создания бэкдоров. Например, они могут изменить модуль pam_unix.so
таким образом, чтобы он принимал произвольные значения в качестве легитимных учетных данных.
Вредоносные модификации подключаемых модулей аутентификации также могут использоваться для кражи учетных данных. Поскольку PAM не хранит пароли, модули могут передавать и принимать значения в открытом виде, и злоумышленники могут внедрять в них код для сбора учетных данных пользователей.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
hashicorp: PT-CR-2138: Hashicorp_Vault_Auth_Method_Modify: Злоумышленники могут включать или изменять доступные методы аутентификации
unix_mitre_attck_cred_access: PT-CR-1695: Unix_PAM_Modify: Изменение и перемещение конфигурационных файлов подключаемого модуля аутентификации. Атакующие могут изменять конфигурацию подключаемых модулей аутентификации, чтобы получить доступ к учетным данным пользователя или авторизоваться без пароля
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте конфигурацию подключаемых модулей аутентификации и пути к ним (например, /etc/pam.d/) на предмет изменений. Для анализа подключаемых модулей аутентификации можно использовать инструменты проверки целостности системы, такие как AIDE, и инструменты мониторинга, такие как auditd. |
---|
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Отслеживайте попытки входа в разные системы учетных записей, общих для этих систем, — пользовательских, администраторских или учетных записей служб. Примеры: одна учетная запись, которая вошла в несколько систем одновременно; несколько учетных записей, вошедших в систему на одной машине одновременно; попытки входа в необычное (например, когда пользователь отсутствует на работе) или нерабочее время. Подозрительная активность может исходить от интерактивной рабочей сессии или включать использование прав владения процессами для запуска бинарных файлов на удаленной системе определенными учетными записями. Сопоставляйте сведения других систем безопасности с информацией о входе (например, данные о пользователе, который вошел в систему, но не находится в здании и не имеет доступа через VPN). |
---|
Меры противодействия
ID | M1032 | Название | Многофакторная аутентификация | Описание | Внедрение многофакторной аутентификации (MFA) в организационную политику может значительно снизить риск получения злоумышленником контроля над действительными учетными данными, которые могут быть использованы для дополнительных тактик, таких как первоначальный доступ, боковое перемещение и сбор информации. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте доступ к учетной записи root и используйте надлежащие средства разделения привилегий (например, SELinux, grsecurity или AppArmor) и ограничения возможностей повышения привилегий, чтобы не позволять пользователям изменять компоненты PAM. |
---|