T1556.004: Аутентификация на сетевых устройствах

Злоумышленники могут воспользоваться техникой Внесение исправлений в образ системы, чтобы внедрить в операционную систему жестко заданный пароль и обойти встроенные механизмы аутентификации локальных учетных записей на сетевых устройствах.

Изменение образа системы может предусматривать внедрение в операционную систему кода, который позволит злоумышленникам получить доступ к сетевым устройствам, используя заранее заданный пароль. При попытке аутентификации внедренный код сначала проверяет, совпадает ли введенный пользователем пароль с этим паролем. При совпадении пользователю предоставляется доступ. В противном случае внедренный код передает учетные данные для проверки их подлинности.

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor for changes made to the checksum of the operating system file and verifying the image of the operating system in memory. Detection of this behavior may be difficult, detection efforts may be focused on closely related adversary behaviors, such as Modify System Image.

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Restrict administrator accounts to as few individuals as possible, following least privilege principles. Prevent credential overlap across systems of administrator and privileged accounts, particularly between network and non-network platforms, such as servers or endpoints.

IDM1032НазваниеМногофакторная аутентификацияОписание

Use multi-factor authentication for user and privileged accounts. Most embedded network devices support TACACS+ and/or RADIUS. Follow vendor prescribed best practices for hardening access control.