T1556.005: Обратимое шифрование
Злоумышленники могут использовать свойства шифрования аутентификационных данных в Active Directory, чтобы получить доступ к учетным данным в Windows. Свойство AllowReversiblePasswordEncryption
используется для включения и отключения обратимого шифрования паролей для учетной записи. По умолчанию это свойство отключено (и учетные данные пользователя хранятся в виде результата выполнения необратимых хеш-функций) и должно включаться, только если это необходимо для работы с устаревшим или другим программным обеспечением.
Злоумышленник может извлечь пароли, созданные или измененные после включения этого свойства, в открытом виде. Для расшифровки паролей злоумышленнику нужны четыре компонента:
- Зашифрованный пароль (
G$RADIUSCHAP
) из пользовательской структурыuserParameters
в Active Directory - 16-байтовое случайно генерируемое значение
G$RADIUSCHAPKEY
, также изuserParameters
- Глобальный секрет LSA (
G$MSRADIUSCHAPKEY
) - Статический ключ, встроенный в библиотеку
RASSFM.DLL
Владея этой информацией, злоумышленник может воспроизвести ключ шифрования и расшифровать пароль.
Злоумышленник может включить это свойство на различных уровнях с помощью редактора локальных групповых политик, оснастки редактирования свойств пользователя, детальной политики паролей (FGPP) или модуля PowerShell в Active Directory. Например, в доменах с функциональным уровнем Windows Server 2008 и выше злоумышленник может создать и применить детальную политику паролей для пользователей или групп. В PowerShell злоумышленник может внести соответствующие изменения в пользовательские настройки с помощью таких команд, как Set-ADUser -AllowReversiblePasswordEncryption $true
.
Способы обнаружения
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Метаданные учетной записи | Описание | Monitor Fine-Grained Password Policies and regularly audit user accounts and group settings. |
---|
ID | DS0026 | Источник и компонент данных | Active Directory: Изменение объекта Active Directory | Описание | Monitor property changes in Group Policy: |
---|
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Consider monitoring and/or blocking suspicious execution of Active Directory PowerShell modules, such as |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor command-line usage for |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Audit domain and local accounts as well as their permission levels routinely to look for situations that could allow an adversary to gain wide access by obtaining credentials of a privileged account. These audits should also include if default accounts have been enabled, or if new local accounts are created that have not be authorized. Follow best practices for design and administration of an enterprise network to limit privileged account use across administrative tiers. |
---|
ID | M1027 | Название | Парольные политики | Описание | Ensure that |
---|