Техника на mitre.org

T1606.002: Токены SAML

Злоумышленник может подделать токены SAML с любыми разрешениями и сроками действия, если у него есть действительный сертификат для их подписи. По умолчанию срок действия токена SAML составляет один час, но его можно указать в значении NotOnOrAfter элемента conditions ... токена. Значение можно изменить с помощью параметра AccessTokenLifetime в политике LifetimeTokenPolicy. Поддельные токены SAML позволяют злоумышленникам аутентифицироваться в сервисах, которые используют SAML 2.0 в качестве механизма единого входа (SSO).

Злоумышленник может использовать закрытые ключи, чтобы скомпрометировать сертификат подписи и создавать поддельные токены SAML от имени организации. Если злоумышленник имеет достаточные права для установления нового федеративного отношения доверия со своим сервером служб федерации Active Directory (AD FS), он может создать собственный доверенный сертификат для подписи токенов. Эта техника отличается от кражи токена доступа к приложению и других подобных методов тем, что злоумышленник сам создает токены, а не похищает или перехватывает их у легитимных пользователей.

Злоумышленник может получить административные привилегии в Azure AD, подделав токен SAML, который идентифицирует его как пользователя с высокими привилегиями. В результате у злоумышленника может появиться возможность использования альтернативных сущностей для аутентификации, позволяющая обойти многофакторную аутентификацию и другие механизмы защиты.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Способ 1 (AWS, Azure) — Мониторинг событий успешного входа «ConsoleLogin» (для AWS) или «AssumeRoleWithSAML» («sign-in» в Azure AD), при которых не появляются соответствующие события 4769 (на контроллере домена), 1200 (на ADFS) и 1202 (на ADFS) в домене. Способ 2 — Мониторинг событий 1007 (экспорт сертификата с ADFS сервера, журнал Microsoft-Windows-CertificateServicesClient-Lifecycle-System), поскольку для проведения атаки Golden SAML необходим закрытый ключ и сертификат ADFS. — Мониторинг событий запуска процесса, связанного с выполнением команд PowerShell (идентификаторы 4103 и 4104), в командной строке которых есть фрагмент «Export-PfxCertificate» или «certutil -exportPFX». — Мониторинг событий запуска процесса certutil.exe, в командной строке которых есть фрагмент «certutil.exe -exportPFX». — Мониторинг событий Sysmon с идентификатором 18 и названием канала «\Microsoft##wid sql\query». Это метод обнаружения утилиты ADFSdump. При его использовании аналитику необходимо исключить процессы, которые обычно используют этот канал). Необходимо учитывать, что злоумышленник может получить административный доступ к ADFS и вместо извлечения сертификата и закрытого ключа добавить новый доверенный ADFS. Это позволит обойти описанные выше способы обнаружения. Чтобы обнаружить такую атаку, необходимо отслеживать события с ADFS (способ 3). Способ 3 — Событие с идентификатором 307 (The Federation Service configuration was changed) связывается с одним или несколькими событиями с идентификатором 510 по одинаковому идентификатору экземпляра (Instance ID). Событие 510 полезно тем, что в нем отражены все сделанные изменения. Рекомендуется обращать особое внимание на события с «Configuration: Type: IssuanceAuthority», в которых параметр Property Value ссылается на незнакомый домен

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0006	Источник и компонент данных	Учетные данные для веб-ресурсов: Создание учетных данных для веб-ресурсов	Описание	Отслеживайте создание токенов доступа с помощью токенов SAML, для которых отсутствуют соответствующие события с идентификаторами 4769 и 1200 в домене.

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Метаданные сеанса входа в систему	Описание	По возможности включайте в ответы SAML специализированные элементы для каждого поставщика сервиса. Отслеживайте данные элементы в журналах доступа к поставщику сервиса, чтобы обнаружить аномальные запросы.

ID	DS0006	Источник и компонент данных	Учетные данные для веб-ресурсов: Использование учетных данных для веб-ресурсов	Описание	Отслеживайте использование для авторизации в таких сервисах, как электронная почта, токенов доступа, созданных с помощью токенов SAML, для которых отсутствуют соответствующие события с идентификатором 1202 ("Служба федерации подтвердила новые учетные данные") в домене.

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте попытки входа в систему с помощью токенов SAML, для которых отсутствуют соответствующие события с идентификаторами 4769 и 1200 в домене. Данные попытки могут быть связаны с локальными ресурсами, а также с любой облачной средой, для которой сертификат является доверенным.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Аутентификация с помощью учетной записи	Описание	Отслеживайте неудачные попытки аутентификации пользователей, которые не соответствуют политикам условного доступа (CAP), при запросе токенов доступа к службам. Некоторые характеристики токенов SAML, такие как местоположение пользователя, не всегда легко подтвердить.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Этот анализ отслеживает аргументы certutil.exe, которые указывают на манипулирование сертификатом или его извлечение. В дальнейшем таким сертификатом могут быть подписаны новые токены аутентификации, особенно в средах с федеративным доступом, таких как службы федерации Active Directory. Аналитика 1. Извлечение сертификата с помощью certutil.exe `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND Image= "C:\Windows\System32\certutil.exe" AND CommandLine= " -exportPFX ")`

ID	Источник и компонент данных	Описание
DS0006	Учетные данные для веб-ресурсов: Создание учетных данных для веб-ресурсов	Отслеживайте создание токенов доступа с помощью токенов SAML, для которых отсутствуют соответствующие события с идентификаторами 4769 и 1200 в домене.
DS0028	Сеанс входа в систему: Метаданные сеанса входа в систему	По возможности включайте в ответы SAML специализированные элементы для каждого поставщика сервиса. Отслеживайте данные элементы в журналах доступа к поставщику сервиса, чтобы обнаружить аномальные запросы.
DS0006	Учетные данные для веб-ресурсов: Использование учетных данных для веб-ресурсов	Отслеживайте использование для авторизации в таких сервисах, как электронная почта, токенов доступа, созданных с помощью токенов SAML, для которых отсутствуют соответствующие события с идентификатором 1202 ("Служба федерации подтвердила новые учетные данные") в домене.
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте попытки входа в систему с помощью токенов SAML, для которых отсутствуют соответствующие события с идентификаторами 4769 и 1200 в домене. Данные попытки могут быть связаны с локальными ресурсами, а также с любой облачной средой, для которой сертификат является доверенным.
DS0002	Учетная запись пользователя: Аутентификация с помощью учетной записи	Отслеживайте неудачные попытки аутентификации пользователей, которые не соответствуют политикам условного доступа (CAP), при запросе токенов доступа к службам. Некоторые характеристики токенов SAML, такие как местоположение пользователя, не всегда легко подтвердить.
DS0009	Процесс: Создание процесса	Этот анализ отслеживает аргументы certutil.exe, которые указывают на манипулирование сертификатом или его извлечение. В дальнейшем таким сертификатом могут быть подписаны новые токены аутентификации, особенно в средах с федеративным доступом, таких как службы федерации Active Directory. Аналитика 1. Извлечение сертификата с помощью certutil.exe `(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688") AND Image= "C:\Windows\System32\certutil.exe" AND CommandLine= " -exportPFX ")`

Меры противодействия

ID	M1015	Название	Конфигурация Active Directory	Описание	Чтобы избежать негативных последствий по причине ранее подделанного токена SAML, дважды быстро смените сертификат для подписи токенов AD FS, что приведет к аннулированию всех токенов, созданных с использованием предыдущего сертификата.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Предоставьте разрешения и доступ к серверу AD FS только для рабочих станций с привилегированным доступом.

ID	M1047	Название	Аудит	Описание	Включите расширенный аудит в AD FS. Проверьте параметры аудита успешных и неудачных попыток аутентификации в оснастке AD FS Management. Включите аудит событий, генерируемых приложением, на ферме AD FS с помощью объекта групповой политики.

ID	M1018	Название	Управление учетными записями	Описание	Проследите, чтобы учетные записи пользователей с правами администратора следовали лучшим практикам, таким как использование рабочих станций с привилегированным доступом, технологии Just in Time / Just Enough Administration (JIT/JEA) и надежных методов аутентификации. Уменьшите количество пользователей, обладающих высокопривилегированной ролью для каталога.

ID	Название	Описание
M1015	Конфигурация Active Directory	Чтобы избежать негативных последствий по причине ранее подделанного токена SAML, дважды быстро смените сертификат для подписи токенов AD FS, что приведет к аннулированию всех токенов, созданных с использованием предыдущего сертификата.
M1026	Управление привилегированными учетными записями	Предоставьте разрешения и доступ к серверу AD FS только для рабочих станций с привилегированным доступом.
M1047	Аудит	Включите расширенный аудит в AD FS. Проверьте параметры аудита успешных и неудачных попыток аутентификации в оснастке AD FS Management. Включите аудит событий, генерируемых приложением, на ферме AD FS с помощью объекта групповой политики.
M1018	Управление учетными записями	Проследите, чтобы учетные записи пользователей с правами администратора следовали лучшим практикам, таким как использование рабочих станций с привилегированным доступом, технологии Just in Time / Just Enough Administration (JIT/JEA) и надежных методов аутентификации. Уменьшите количество пользователей, обладающих высокопривилегированной ролью для каталога.