Техника на mitre.org

T1556.006: Многофакторная аутентификация

Злоумышленники могут отключить или изменить механизмы многофакторной аутентификации для получения постоянного доступа к скомпрометированным учетным записям.

Получив доступ к сети путем компрометации учетной записи, не использующей многофакторную аутентификацию, либо применив технику обхода многофакторной аутентификации, такую как Генерирование запросов многофакторной аутентификации, они могут изменить или полностью отключить этот механизм защиты. Для этого могут использоваться легитимные функции, в частности позволяющие исключить пользователей из политик условного доступа Azure AD, зарегистрировать новый уязвимый или подконтрольный злоумышленникам метод многофакторной аутентификации или вручную внести изменения в приложения для многофакторной аутентификации и соответствующие файлы конфигурации с целью обхода стандартной функциональности.

Например, перенаправление вызовов с сервера многофакторной аутентификации на локальный узел (localhost) путем изменения файла hosts в Windows (C:\windows\system32\drivers\etc\hosts) может вызвать сбой процесса многофакторной аутентификации. Если применяется политика предоставления доступа при отказе системы (fail open), для получения доступа к ресурсам достаточно верно ввести только учетные данные .

В зависимости от масштаба атаки, своих целей и привилегий, злоумышленник может отключать многофакторную аутентификацию для отдельных учетных записей или для всех учетных записей в группе, например для всех доменных учетных записей в целевом сетевом окружении.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

bruteforce: PT-CR-1755: Multifactor_Brute_Second_Factor: Множественные запросы второго фактора аутентификации в приложении Multifactor. Это может означать, что злоумышленники получили учетные данные пользователя и пытаются подтолкнуть его к подтверждению входа mitre_attck_cred_access: PT-CR-1796: Multifactor_Bypass_Due_API_Unavailability: Параметр "bypass-second-factor-when-api-unreachable" позволяет авторизоваться без второго фактора аутентификации, если Multifactor API недоступен mitre_attck_cred_access: PT-CR-1584: Multifactor_Bypass_MFA: Обход многофакторной аутентификации может свидетельствовать о неправильной конфигурации сервера. Используя эту возможность, злоумышленники могут проникнуть в инфраструктуру mitre_attck_cred_access: PT-CR-1993: Multifactor_Second_Factor_Verified_Without_Request: Второй фактор аутентификации пользователя подтвержден без запроса на аутентификацию mitre_attck_cred_access: PT-CR-1991: Multifactor_Bypass_From_Local_Network_Side: Пользователь получил доступ к нескольким серверам, единожды подтвердив второй фактор mitre_attck_cred_access: PT-CR-1990: Subrule_Multifactor_Bypass_From_Local_Network_Side: Второй фактор аутентификации пользователя проверен и подтвержден дважды в одно время

Способы обнаружения

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте попытки входа в систему с учетными записями пользователей и устройств, не требующие многофакторной аутентификации.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте изменения в глобальных настройках многофакторной аутентификации сервисов IDaaS (identity as a service). Например, в средах Okta при глобальной активации или деактивации фактора многофакторной аутентификации генерируются события `system.mfa.factor.activate` и `system.mfa.factor.deactivate` .

ID	DS0026	Источник и компонент данных	Active Directory: Изменение объекта Active Directory	Описание	Отслеживайте изменения в настройках безопасности AD, связанных с требованиями входа в систему с MFA, включая изменения политик условного доступа Azure AD или регистрацию новых приложений MFA.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Аутентификация с помощью учетной записи	Описание	Отслеживайте случаи аутентификации в учетных записях, когда аутентифицирующая сущность не получает учетные данные MFA со стороны учетной записи пользователя.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Изменения в учетной записи	Описание	Отслеживайте регистрацию устройств и учетных записей пользователей с альтернативными настройками безопасности, не требующими ввода учетных данных MFA для успешного входа. Отслеживайте попытки отключения MFA в отдельных учетных записях пользователей. Кроме того, отслеживайте попытки изменить или сбросить настройки MFA пользователей. Например, в среде Okta возникает событие `user.mfa.factor.reset_all`, когда для пользователя сброшены все факторы MFA .

ID	Источник и компонент данных	Описание
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте попытки входа в систему с учетными записями пользователей и устройств, не требующие многофакторной аутентификации.
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте изменения в глобальных настройках многофакторной аутентификации сервисов IDaaS (identity as a service). Например, в средах Okta при глобальной активации или деактивации фактора многофакторной аутентификации генерируются события `system.mfa.factor.activate` и `system.mfa.factor.deactivate` .
DS0026	Active Directory: Изменение объекта Active Directory	Отслеживайте изменения в настройках безопасности AD, связанных с требованиями входа в систему с MFA, включая изменения политик условного доступа Azure AD или регистрацию новых приложений MFA.
DS0002	Учетная запись пользователя: Аутентификация с помощью учетной записи	Отслеживайте случаи аутентификации в учетных записях, когда аутентифицирующая сущность не получает учетные данные MFA со стороны учетной записи пользователя.
DS0002	Учетная запись пользователя: Изменения в учетной записи	Отслеживайте регистрацию устройств и учетных записей пользователей с альтернативными настройками безопасности, не требующими ввода учетных данных MFA для успешного входа. Отслеживайте попытки отключения MFA в отдельных учетных записях пользователей. Кроме того, отслеживайте попытки изменить или сбросить настройки MFA пользователей. Например, в среде Okta возникает событие `user.mfa.factor.reset_all`, когда для пользователя сброшены все факторы MFA .

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Проследите, чтобы были внедрены политики, обеспечивающие безопасное добавление и деактивацию многофакторной аутентификации для учетных записей пользователей.

ID	M1047	Название	Аудит	Описание	Просматривайте действия MFA вместе с журналами аутентификации, чтобы убедиться, что входы в систему на основе MFA работают так, как нужно. Проверьте учетные записи пользователей, чтобы убедиться, что во всех учетных записях включена функция MFA.

ID	M1032	Название	Многофакторная аутентификация	Описание	Проследите, чтобы политики и требования MFA были должным образом реализованы для существующих и деактивированных или неактивных учетных записей и устройств. По возможности настройте решения для MFA таким образом, чтобы в случае серьезных ошибок доступ не предоставлялся, а блокировался.

ID	Название	Описание
M1018	Управление учетными записями	Проследите, чтобы были внедрены политики, обеспечивающие безопасное добавление и деактивацию многофакторной аутентификации для учетных записей пользователей.
M1047	Аудит	Просматривайте действия MFA вместе с журналами аутентификации, чтобы убедиться, что входы в систему на основе MFA работают так, как нужно. Проверьте учетные записи пользователей, чтобы убедиться, что во всех учетных записях включена функция MFA.
M1032	Многофакторная аутентификация	Проследите, чтобы политики и требования MFA были должным образом реализованы для существующих и деактивированных или неактивных учетных записей и устройств. По возможности настройте решения для MFA таким образом, чтобы в случае серьезных ошибок доступ не предоставлялся, а блокировался.