MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1649: Кража или подделка сертификатов аутентификации

Злоумышленники могут украсть или подделать сертификаты, используемые для аутентификации, и получить доступ к удаленным системам или ресурсам. Цифровые сертификаты часто применяются для подписи и шифрования сообщений и (или) файлов. Сертификаты также могут выступать в роли сущностей для аутентификации. Например, сертификаты устройств Azure AD и служб сертификации Active Directory (AD CS) связываются с удостоверениями и могут использоваться как учетные данные для доменных учетных записей.

Сертификаты аутентификации могут быть украдены или подделаны. Например, сертификаты AD CS могут быть украдены из зашифрованного хранилища в реестре или файлах, из неправильно расположенных файлов сертификатов (см. технику Незащищенные учетные данные) или непосредственно из хранилища сертификатов Windows через различные криптографические API. При наличии прав на регистрацию пользователи и (или) компьютеры в домене могут запрашивать и (или) вручную обновлять сертификаты, выдаваемые корпоративными центрами сертификации (CA). Процесс регистрации определяет настройки и разрешения, связанные с сертификатом. Значения расширенного использования ключа (EKU) определяют, как сертификат можно использовать для подписи, шифрования и аутентификации, а значения альтернативного имени субъекта (SAN) указывают на дополнительные имена владельца сертификата.

Злоупотребление сертификатами для аутентификации может помочь атакующим реализовать другие тактики, такие как Перемещение внутри периметра. Неправильные настройки сертификатов могут открыть возможности для повышения привилегий, позволяя злоумышленникам выдавать себя за других пользователей или получать привилегированные учетные записи и разрешения через SAN, связанные с сертификатом. Подобные манипуляции могут также позволить злоумышленникам закрепиться в системе посредством кражи или подделки сертификатов, которые могут использоваться в качестве существующих учетных записей на протяжении всего срока их действия даже после сброса пароля пользователя. Сертификаты аутентификации для учетных записей компьютеров также могут быть украдены или подделаны.

Злоумышленники, имеющие доступ к закрытым ключам корневого или подчиненного центра сертификации, могут добиться закрепления путем подделки произвольных сертификатов аутентификации для домена-жертвы (так называемые "золотые" сертификаты). Злоумышленники могут использовать сертификаты и связанные с ними службы, чтобы получить доступ к другим формам учетных данных, например, билетам на выдачу билетов (TGT) (см. технику Золотой билет Kerberos) или данным NTLM в открытом виде.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_cred_access: PT-CR-1362: Subrule_Remote_Credential_Theft_by_Masky: Вспомогательное правило к правилу Remote_Credential_Theft_by_Masky, обнаруживающее загрузку агента Masky на атакованный узел и создание файлов с результатами его работы
mitre_attck_cred_access: PT-CR-1363: Masky_Tool_Usage: Обнаружение использования инструмента Masky, предназначенного для получения NT-хешей и TGT пользователей, работающих на атакованных узлах, для запроса сертификатов от их имени
mitre_attck_cred_access: PT-CR-1366: Remote_Credential_Theft_by_Masky: Использование инструмента Masky, предназначенного для получения TGT и NT-хешей пользователей, работающих на атакованных узлах, с помощью запроса сертификатов от их имени
mssql_database: PT-CR-411: MSSQL_dump_key_or_certificate: Попытка выгрузить ключ шифрования или сертификат базы данных
active_directory_attacks: PT-CR-828: ADCS_Recon: Выполнен LDAP-запрос на поиск в сети серверов сертификатов. Злоумышленники могут использовать AD CS для кражи учетных данных и закрепления в системе
active_directory_attacks: PT-CR-834: Enable_SAN_Flag_CA_Policy: На сервере сертификатов установлен флаг EDITF_ATTRIBUTESUBJECTALTNAME2, позволяющий любому пользователю добавить атрибут Subject Alternative Name в запрос на подпись сертификата. Использование этого флага позволит злоумышленнику пройти проверку подлинности от имени другого пользователя домена, в том числе администратора домена
active_directory_attacks: PT-CR-1215: CA_Cert_Export: Экспортирован сертификат центра сертификации, который может быть использован для выпуска действующих сертификатов любого пользователя без знания пароля. Это позволит злоумышленнику полностью скомпрометировать домен
active_directory_attacks: PT-CR-1216: Golden_Cert: Запрошены TGT-билеты по сертификату центра сертификации, скомпрометированному ранее. Атакующий может восстановить хеши паролей из полученных билетов (UnPac the Hash) и скомпрометировать домен
active_directory_attacks: PT-CR-2100: ADCSync_Attack: Атака DCSync для получения NTLM-хешей учетных записей пользователей в среде Active Directory с помощью сертификатов AD CS
active_directory_attacks: PT-CR-2101: Bulk_Certs_Allowed_to_One_User: Большое количество сертификатов выдано одному пользователю. Это может быть признаком использования утилиты ADCSync, которая создает запрос для каждого пользователя, сохраняет его PFX-файл в каталоге сертификатов, а затем пытается выполнить аутентификацию с помощью сертификата и получить NT-хеш для каждого пользователя
active_directory_attacks: PT-CR-2470: Cert_Request_and_Approved_with_Alt_SAN: Запрошен сертификат с альтернативным именем для учетной записи. Злоумышленник может использовать неправильно настроенные шаблоны сертификатов AD CS, чтобы выдать себя за администратора и создать дополнительные сертификаты аутентификации

Способы обнаружения

IDDS0026Источник и компонент данныхActive Directory: Запрос учетных данных Active DirectoryОписание

Отслеживайте аномальную деятельность, связанную с запросами к службе сертификации AD (событие с ИД 4886) и выдачей сертификатов (событие с ИД 4887), включая регистрацию нетипичных сертификатов и признаки манипулирования их атрибутами (например, посредством уязвимых EKU).

IDDS0024Источник и компонент данныхРеестр Windows: Доступ к ключу реестра WindowsОписание

Отслеживайте попытки доступа к хранящимся в реестре данным о сертификатах и закрытых ключах, связанным с ними. Например, сертификаты пользователей обычно хранятся в HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates.

IDDS0026Источник и компонент данныхActive Directory: Изменение объекта Active DirectoryОписание

Отслеживайте изменения в атрибутах и настройках центра сертификации, включая модификацию шаблонов службы сертификации AD. Регистрацию потенциально вредоносных сертификатов можно отслеживать по событиям с ИД 4899/4900.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Включите журналы аудита центра сертификации и отслеживайте признаки несанкционированного использования связанных служб.

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте попытки доступа к файлам, в которых хранятся данные о сертификатах и закрытых ключах, связанным с ними. Например, личные сертификаты пользователей могут храниться на диске в папке %APPDATA%\Microsoft\SystemCertificates\My\Certificates\.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте события аутентификации, связанные с сертификатами, например события с ИД 4768, когда сертификат AD CS используется для аутентификации через Kerberos (особенно если это не легитимно выданный сертификат). Также обратите внимание на случаи, когда в событиях входа с ИД 4624 в качестве Logon Process указывается Secure Channel (Schannel, связанный с SSL/TLS).

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд и других утилит для подделки и (или) кражи сертификатов и их закрытых ключей.

Меры противодействия

IDM1015НазваниеКонфигурация Active DirectoryОписание

Обеспечьте надлежащую защиту центров сертификации (ЦС), в том числе обеспечьте обращение с серверами ЦС (и другими ресурсами, хранящими сертификаты ЦС) как с активами нулевого уровня (tier 0). Защитите уязвимые настройки и атрибуты ЦС.

Например, отключите использование сертификатов SAN AD CS в соответствующих настройках протокола аутентификации, чтобы обеспечить строгое сопоставление пользователей и предотвратить аутентификацию сертификатов в качестве других идентификаторов. Также по возможности используйте диспетчер сертификатов CA Certificate Manager для одобрения шаблонов, включающих SAN в качестве требования для выдачи.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

По возможности отключите старые/опасные протоколы аутентификации (например, NTLM), а также ненужные функции сертификата, такие как потенциально уязвимые веб-роли AD CS и других серверов регистрации.

IDM1041НазваниеШифрование важной информацииОписание

Обеспечьте надлежащую защиту сертификатов и связанных с ними закрытых ключей. По возможности используйте дополнительные аппаратные средства защиты учетных данных, такие как модули доверенной платформы (TPM) или аппаратные модули безопасности (HSM). Применяйте HTTPS и включите расширенную защиту для аутентификации.

IDM1047НазваниеАудитОписание

Проверяйте системы на наличие ненужных существующих сертификатов аутентификации, а также распространенных злоупотреблений в настройках и разрешениях ЦС, таких как разрешения на регистрацию сертификатов AD CS и опубликованные шаблоны сертификатов со слишком высоким уровнем разрешений (они определяют доступные параметры для создаваемых сертификатов). Например, доступные шаблоны сертификатов AD CS можно проверить с помощью оснастки Certificate Authority MMC (certsrv.msc). certutil.exe также можно использовать для изучения различной информации в базе данных AD CS CA.