T1556.005: Обратимое шифрование
Злоумышленники могут использовать свойства шифрования аутентификационных данных в Active Directory, чтобы получить доступ к учетным данным в Windows. Свойство AllowReversiblePasswordEncryption используется для включения и отключения обратимого шифрования паролей для учетной записи. По умолчанию это свойство отключено (и учетные данные пользователя хранятся в виде результата выполнения необратимых хеш-функций) и должно включаться, только если это необходимо для работы с устаревшим или другим программным обеспечением.
Злоумышленник может извлечь пароли, созданные или измененные после включения этого свойства, в открытом виде. Для расшифровки паролей злоумышленнику нужны четыре компонента:
- Зашифрованный пароль (
G$RADIUSCHAP) из пользовательской структурыuserParametersв Active Directory - 16-байтовое случайно генерируемое значение
G$RADIUSCHAPKEY, также изuserParameters - Глобальный секрет LSA (
G$MSRADIUSCHAPKEY) - Статический ключ, встроенный в библиотеку
RASSFM.DLL
Владея этой информацией, злоумышленник может воспроизвести ключ шифрования и расшифровать пароль.
Злоумышленник может включить это свойство на различных уровнях с помощью редактора локальных групповых политик, оснастки редактирования свойств пользователя, детальной политики паролей (FGPP) или модуля PowerShell в Active Directory. Например, в доменах с функциональным уровнем Windows Server 2008 и выше злоумышленник может создать и применить детальную политику паролей для пользователей или групп. В PowerShell злоумышленник может внести соответствующие изменения в пользовательские настройки с помощью таких команд, как Set-ADUser -AllowReversiblePasswordEncryption $true.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
— Поиск фрагмента «-AllowReversiblePasswordEncryption $true» в командной строке событий запуска процессов. — Мониторинг событий с идентификатором 5136 на контроллерах домена на предмет изменения параметра групповой политики (по умолчанию этот параметр должен иметь значение Disabled): Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\Store passwords using reversible encryption
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
| ID | DS0026 | Источник и компонент данных | Active Directory: Изменение объекта Active Directory | Описание | Отслеживайте изменения параметра групповой политики |
|---|
| ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Метаданные учетной записи | Описание | Отслеживайте детальные парольные политики и регулярно проверяйте настройки учетных записей пользователей и групп. |
|---|
| ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | По возможности отслеживайте и (или) блокируйте подозрительное выполнение PowerShell-модулей Active Directory, таких как |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте использование параметра |
|---|
Меры противодействия
| ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Регулярно проверяйте доменные и локальные учетные записи, а также уровни их разрешений, чтобы выявить ситуации, в которых злоумышленник может получить широкий доступ, завладев учетными данными привилегированной учетной записи. Эти проверки также должны включать информацию о том, были ли включены учетные записи по умолчанию и были ли несанкционированно созданы новые локальные учетные записи. Следуйте лучшим практикам проектирования и администрирования корпоративной сети, чтобы ограничить использование привилегированных учетных записей на всех административных уровнях. |
|---|
| ID | M1027 | Название | Парольные политики | Описание | Проследите, чтобы свойство |
|---|