T1556.005: Обратимое шифрование

Злоумышленники могут использовать свойства шифрования аутентификационных данных в Active Directory, чтобы получить доступ к учетным данным в Windows. Свойство AllowReversiblePasswordEncryption используется для включения и отключения обратимого шифрования паролей для учетной записи. По умолчанию это свойство отключено (и учетные данные пользователя хранятся в виде результата выполнения необратимых хеш-функций) и должно включаться, только если это необходимо для работы с устаревшим или другим программным обеспечением.

Злоумышленник может извлечь пароли, созданные или измененные после включения этого свойства, в открытом виде. Для расшифровки паролей злоумышленнику нужны четыре компонента:

  1. Зашифрованный пароль (G$RADIUSCHAP) из пользовательской структуры userParameters в Active Directory
  2. 16-байтовое случайно генерируемое значение G$RADIUSCHAPKEY, также из userParameters
  3. Глобальный секрет LSA (G$MSRADIUSCHAPKEY)
  4. Статический ключ, встроенный в библиотеку RASSFM.DLL

Владея этой информацией, злоумышленник может воспроизвести ключ шифрования и расшифровать пароль.

Злоумышленник может включить это свойство на различных уровнях с помощью редактора локальных групповых политик, оснастки редактирования свойств пользователя, детальной политики паролей (FGPP) или модуля PowerShell в Active Directory. Например, в доменах с функциональным уровнем Windows Server 2008 и выше злоумышленник может создать и применить детальную политику паролей для пользователей или групп. В PowerShell злоумышленник может внести соответствующие изменения в пользовательские настройки с помощью таких команд, как Set-ADUser -AllowReversiblePasswordEncryption $true.

Способы обнаружения

IDDS0002Источник и компонент данныхУчетная запись пользователя: Метаданные учетной записиОписание

Monitor Fine-Grained Password Policies and regularly audit user accounts and group settings.

IDDS0026Источник и компонент данныхActive Directory: Изменение объекта Active DirectoryОписание

Monitor property changes in Group Policy: Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\Store passwords using reversible encryption. By default, the property should be set to Disabled.

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Consider monitoring and/or blocking suspicious execution of Active Directory PowerShell modules, such as Set-ADUser and Set-ADAccountControl, that change account configurations.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor command-line usage for -AllowReversiblePasswordEncryption $true or other actions that could be related to malicious tampering of user settings (i.e. Group Policy Modification).

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Audit domain and local accounts as well as their permission levels routinely to look for situations that could allow an adversary to gain wide access by obtaining credentials of a privileged account. These audits should also include if default accounts have been enabled, or if new local accounts are created that have not be authorized. Follow best practices for design and administration of an enterprise network to limit privileged account use across administrative tiers.

IDM1027НазваниеПарольные политикиОписание

Ensure that AllowReversiblePasswordEncryption property is set to disabled unless there are application requirements.