Техника на mitre.org

T1621: Генерирование запросов многофакторной аутентификации

Злоумышленники могут обойти защиту с использованием многофакторной аутентификации (MFA) и получить доступ к учетным записям путем генерирования MFA-запросов, отправляемых пользователям.

Злоумышленникам, имеющим учетные данные к существующим учетным записям, может мешать войти в систему отсутствие доступа к механизмам 2FA (двухфакторной аутентификации) или MFA, используемым в качестве дополнительного этапа аутентификации и контроля безопасности. Чтобы обойти это препятствие, злоумышленники могут злоупотребить автоматическим созданием push-уведомлений для таких служб MFA, как Duo Push, Microsoft Authenticator или Okta, чтобы заставить пользователя предоставить доступ к своей учетной записи. Если у злоумышленника отсутствуют пароли к учетным записям жертв, он может злоупотребить автоматическим созданием push-уведомлений, настроенным для функции самостоятельного сброса пароля (SSPR).

В некоторых случаях злоумышленники могут постоянно пытаться войти в систему, чтобы забросать пользователей push-уведомлениями MFA, SMS-сообщениями и телефонными звонками. Это может привести к тому, что пользователь, устав от постоянных запросов, случайно примет запрос на аутентификацию.

Способы обнаружения

IDDS0002Источник и компонент данныхУчетная запись пользователя: Аутентификация с помощью учетной записиОписание

Отслеживайте подозрительные события в журналах учетных записей пользователей: попытка входа из необычного места, несоответствие места входа и расположения смарт-устройства, на которое отправляется запрос 2FA/MFA, а также большое количество повторяющихся попыток входа могут указывать на компрометацию первичных учетных данных пользователя, за исключением механизма 2FA/MFA.

IDDS0028Источник и компонент данныхСеанс входа в систему: Метаданные сеанса входа в системуОписание

Отслеживайте подозрительные события в журналах 2FA/MFA, такие как попытки входа из необычных мест или несоответствие между местом входа и расположением смарт-устройства, одобряющего запросы 2FA/MFA.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте подозрительные события в журналах приложений, в том числе систематическое завершение попыток многофакторной аутентификации отказом, что может указывать на компрометацию первичных учетных данных пользователя.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте журналы приложений 2FA/MFA на предмет подозрительных событий, таких как последовательные попытки входа с легитимными учетными данными.

Меры противодействия

IDM1032НазваниеМногофакторная аутентификацияОписание

Внедрите более безопасные механизмы 2FA/MFA вместо простых push- или "однокликовых" вариантов 2FA/MFA. Например, более безопасными могут быть одноразовые коды, вводимые пользователями в приложение 2FA/MFA на экране входа в систему, или другие внешние механизмы 2FA/MFA (например, чередующиеся аппаратные токены, которые предоставляют чередующиеся коды, требующие сопровождающий пользовательский PIN-код). Кроме того, измените стандартные конфигурации и введите ограничения на максимальное количество запросов 2FA/MFA, которые могут быть отправлены пользователям за определенный период времени.

IDM1036НазваниеПолитики использования учетных записейОписание

Включите ограничения учетной записи, чтобы предотвратить попытки входа в систему и последующие запросы на услуги 2FA/MFA из подозрительных мест или когда источник попыток входа не соответствует местоположению смарт-устройства 2FA/MFA. Используйте политики условного доступа, чтобы блокировать вход с устройств, не соответствующих требованиям, или из-за пределов определенных диапазонов IP-адресов организации.

IDM1017НазваниеОбучение пользователейОписание

Научите пользователей одобрять запросы двухфакторной и многофакторной аутентификации только тогда, когда они сами предприняли попытку входа. Обучите их проверять источник попытки входа и сообщать о подозрительных/неожиданных попытках.