T1606: Подделка учетных данных для веб-ресурсов

Злоумышленники могут подделать учетные данные и использовать их для получения доступа к веб-приложениям или интернет-службам. Веб-приложения и службы, размещенные в облачных средах SaaS (software as a service) или на локальных серверах, часто полагаются на сессионные файлы куки, токены или другие сущности для аутентификации и авторизации пользователей.

Злоумышленники могут сгенерировать такие учетные данные, чтобы получить доступ к веб-ресурсам. Эта техника отличается от кражи сессионных куки, кражи токена доступа к приложению и других подобных методов тем, что злоумышленники сами создают учетные данные, а не похищают или перехватывают их у легитимных пользователей.

Для создания учетных данных веб-ресурсов часто требуются секретные значения, такие как пароли, закрытые ключи или другие входные криптографические данные. Злоумышленники также могут подделывать токены с помощью таких функций, как операции AssumeRole и GetFederationToken в AWS S3 API, которые позволяют запрашивать временные учетные данные (см. технику Временный привилегированный доступ к облачным ресурсам), или команда zmprov gdpak в среде Zimbra, генерирующая ключ предварительной аутентификации, с помощью которого можно создать токены для любого пользователя в домене.

Злоумышленники могут использовать поддельные учетные данные для доступа к веб-ресурсам (например, с помощью техники Использование альтернативных сущностей для аутентификации) в обход многофакторной аутентификации и других механизмов защиты.

Способы обнаружения

IDDS0006Источник и компонент данныхУчетные данные для веб-ресурсов: Создание учетных данных для веб-ресурсовОписание

Отслеживайте создание токенов доступа с помощью токенов SAML, для которых отсутствуют соответствующие события с ИД 4769 и 1200 в домене. Кроме того, отслеживайте необычные вызовы API для генерации токенов доступа, например sts:GetFederationToken в AWS.

IDDS0006Источник и компонент данныхУчетные данные для веб-ресурсов: Использование учетных данных для веб-ресурсовОписание

Отслеживайте использование неожиданных или необычных куки-файлов для доступа к ресурсам и службам. Поддельные веб-куки могут быть связаны с неизвестными учетными записями и могут появиться в результате компрометации секретной информации, например, паролей или закрытых ключей.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте аномальные попытки аутентификации, например вход в систему и операции пользователей с неизвестными учетными записями. Отслеживайте нетипичные и аномальные попытки доступа к ресурсам, включая доступ к веб-сайтам и облачным приложениям, когда один и тот же пользователь подключается из разных мест или с разных устройств, которые не соответствуют ожидаемым конфигурациям.

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Предоставьте разрешения и доступ к серверу AD FS только для рабочих станций с привилегированным доступом.

IDM1054НазваниеИзменение конфигурации ПООписание

Настройте браузеры/приложения на регулярное удаление постоянных учетных данных (например, файлов cookie).

IDM1047НазваниеАудитОписание

Администраторы должны провести аудит всех списков доступа и предоставленных им разрешений на доступ к веб-приложениям и службам. Это должно быть сделано на всех ресурсах, чтобы установить базовый уровень, а затем периодически проводить аудит новых или обновленных ресурсов. Подозрительные учетные записи/учетные данные должны быть проверены и удалены.

Включите расширенный аудит в ADFS. Проверьте параметры аудита успехов и неудач в оснастке ADFS Management. Включите аудит событий, генерируемых приложением, на ферме AD FS с помощью объекта групповой политики.

IDM1018НазваниеУправление учетными записямиОписание

Проследите, чтобы учетные записи пользователей с правами администратора следовали лучшим практикам, таким как использование рабочих станций с привилегированным доступом, технологии Just in Time/Just Enough Administration (JIT/JEA) и надежных методов аутентификации. Уменьшите количество пользователей, обладающих высокопривилегированной ролью для каталога. В средах AWS запретите пользователям обращаться к API sts:GetFederationToken без явной потребности.