T1649: Кража или подделка сертификатов аутентификации
Злоумышленники могут украсть или подделать сертификаты, используемые для аутентификации, и получить доступ к удаленным системам или ресурсам. Цифровые сертификаты часто применяются для подписи и шифрования сообщений и (или) файлов. Сертификаты также могут выступать в роли сущностей для аутентификации. Например, сертификаты устройств Azure AD и служб сертификации Active Directory (AD CS) связываются с удостоверениями и могут использоваться как учетные данные для доменных учетных записей.
Сертификаты аутентификации могут быть украдены или подделаны. Например, сертификаты AD CS могут быть украдены из зашифрованного хранилища в реестре или файлах, из неправильно расположенных файлов сертификатов (см. технику Незащищенные учетные данные) или непосредственно из хранилища сертификатов Windows через различные криптографические API. При наличии прав на регистрацию пользователи и (или) компьютеры в домене могут запрашивать и (или) вручную обновлять сертификаты, выдаваемые корпоративными центрами сертификации (CA). Процесс регистрации определяет настройки и разрешения, связанные с сертификатом. Значения расширенного использования ключа (EKU) определяют, как сертификат можно использовать для подписи, шифрования и аутентификации, а значения альтернативного имени субъекта (SAN) указывают на дополнительные имена владельца сертификата.
Злоупотребление сертификатами для аутентификации может помочь атакующим реализовать другие тактики, такие как Перемещение внутри периметра. Неправильные настройки сертификатов могут открыть возможности для повышения привилегий, позволяя злоумышленникам выдавать себя за других пользователей или получать привилегированные учетные записи и разрешения через SAN, связанные с сертификатом. Подобные манипуляции могут также позволить злоумышленникам закрепиться в системе посредством кражи или подделки сертификатов, которые могут использоваться в качестве существующих учетных записей на протяжении всего срока их действия даже после сброса пароля пользователя. Сертификаты аутентификации для учетных записей компьютеров также могут быть украдены или подделаны.
Злоумышленники, имеющие доступ к закрытым ключам корневого или подчиненного центра сертификации, могут добиться закрепления путем подделки произвольных сертификатов аутентификации для домена-жертвы (так называемые "золотые" сертификаты). Злоумышленники могут использовать сертификаты и связанные с ними службы, чтобы получить доступ к другим формам учетных данных, например, билетам на выдачу билетов (TGT) (см. технику Золотой билет Kerberos) или данным NTLM в открытом виде.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_cred_access: PT-CR-1366: Remote_Credential_Theft_By_Masky: Использование инструмента Masky, предназначенного для получения TGT и NT-хешей пользователей, работающих на атакованных узлах, с помощью запроса сертификатов от их имени mitre_attck_cred_access: PT-CR-1362: Subrule_Remote_Credential_Theft_By_Masky: Вспомогательное правило к правилу Remote_Credential_Theft_By_Masky, обнаруживающее загрузку агента Masky на атакованный узел и создание файлов с результатами его работы mitre_attck_cred_access: PT-CR-1363: Masky_Tool_Usage: Обнаружение использования инструмента Masky, предназначенного для получения NT-хешей и TGT пользователей, работающих на атакованных узлах, для запроса сертификатов от их имени mssql_database: PT-CR-411: MSSQL_Dump_Key_Or_Certificate: Попытка выгрузить ключ шифрования или сертификат базы данных active_directory_certificate_services_attacks: PT-CR-2645: Cert_Explicit_Mapping_Reference_Adding: Использована техника ESC14 (сценарий A). Пользователь получил билет проверки подлинности (TGT) на имя другого пользователя, используя явное сопоставление сертификатов. Злоумышленники могут изменить атрибут Alt-Security-Identities, указав в нем сопоставление со своей учетной записью или сертификатом, и получить доступ к системным ресурсам от имени жертвы active_directory_certificate_services_attacks: PT-CR-2100: ADCSync_Attack: Атака DCSync для получения NTLM-хешей учетных записей пользователей в среде Active Directory с помощью сертификатов AD CS active_directory_certificate_services_attacks: PT-CR-2652: Enrollment_Agent_Cert_For_Low_Privilege_Groups: Использована техника ESC3. Пользователь с помощью шаблона получил сертификат, который позволяет запрашивать сертификат от имени другого пользователя. Этот шаблон доступен участникам групп с низкими привилегиями без дополнительного подтверждения со стороны менеджера active_directory_certificate_services_attacks: PT-CR-834: Enable_SAN_Flag_CA_Policy: На сервере сертификатов установлен флаг EDITF_ATTRIBUTESUBJECTALTNAME2, позволяющий любому пользователю добавить атрибут Subject Alternative Name в запрос на подпись сертификата. Использование этого флага позволит злоумышленнику пройти проверку подлинности от имени другого пользователя домена, в том числе администратора домена active_directory_certificate_services_attacks: PT-CR-2441: Enroll_And_Export_Certificate_For_Authentication: За короткий промежуток времени выпущен и экспортирован сертификат для аутентификации в домене. Злоумышленники могут использовать полученный сертификат для закрепления в инфраструктуре или повышения привилегий active_directory_certificate_services_attacks: PT-CR-2439: ADCS_Disable_RPC_Enrollment_Encryption: Отключено шифрование запросов сертификатов по протоколу MS-ICPR. Это изменение делает небезопасным процесс запроса сертификата с сервера и может привести к краже учетных данных пользователей домена active_directory_certificate_services_attacks: PT-CR-828: ADCS_Recon: Выполнен LDAP-запрос на поиск в сети серверов сертификатов. Злоумышленники могут использовать AD CS для кражи учетных данных и закрепления в системе active_directory_certificate_services_attacks: PT-CR-2657: Cert_Application_Policy_Abuse: Использована техника ESC15. Выпущен сертификат на основе шаблона версии 1. Этот шаблон позволяет добавлять в запрос произвольные политики приложений с более высоким приоритетом, чем заданные атрибуты PKI-Extended-Key-Usage (использование расширенного ключа). Злоумышленник может использовать эту технику, чтобы расширить возможности применения сертификата active_directory_certificate_services_attacks: PT-CR-2646: Cert_Request_After_Account_Edit: Использована техника ESC14 (сценарий B, C или D). Пользователь запросил сертификат после изменения параметров учетной записи, отвечающих за определение субъекта. Злоумышленники могут изменить атрибуты жертвы "cn", "mail" или "dNSHostName" так, чтобы они соответствовали явному сопоставлению сертификатов целевой учетной записи, и получить доступ к системным ресурсам от имени жертвы active_directory_certificate_services_attacks: PT-CR-2643: Cert_Subject_Name_Different_From_UPN: Использована техника ESC9 или ESC10. Пользователь запросил сертификат после того, как установил для атрибута userPrincipalName (UPN) значение, не соответствующее своему имени. Злоумышленники могут использовать этот сертификат для выполнения действий от имени пользователя, указанного в UPN active_directory_certificate_services_attacks: PT-CR-2641: Cert_Compromise_Via_NTLM_Relay: Использована техника ESC8 или ESC11. В результате атаки NTLM Relay на центр сертификации получен сертификат на имя целевой учетной записи. Используя этот сертификат, злоумышленник может выполнять действия на уровне привилегий жертвы active_directory_certificate_services_attacks: PT-CR-1215: CA_Cert_Export: Экспортирован сертификат центра сертификации, который может быть использован для выпуска действующих сертификатов любого пользователя без знания пароля. Это позволит злоумышленнику полностью скомпрометировать домен active_directory_certificate_services_attacks: PT-CR-2101: Bulk_Certs_Allowed_To_One_User: Большое количество сертификатов выдано одному пользователю. Это может быть признаком использования утилиты ADCSync, которая создает запрос для каждого пользователя, сохраняет его PFX-файл в каталоге сертификатов, а затем пытается выполнить аутентификацию с помощью сертификата и получить NT-хеш для каждого пользователя active_directory_certificate_services_attacks: PT-CR-2474: ADCS_Suspicious_Certificate_Authentication: Запрос билета проверки подлинности (TGT) с типом "смарт-карта", без флага "canonicalize" (этот флаг отвечает за наличие информации о дополнительных именах клиента или сервера в ответе от служб KDC). Это может быть признаком использования вредоносного ПО active_directory_certificate_services_attacks: PT-CR-2470: Cert_Request_And_Approved_With_Alt_SAN: Запрошен сертификат с альтернативным именем для учетной записи. Злоумышленник может использовать неправильно настроенные шаблоны сертификатов AD CS, чтобы выдать себя за администратора и создать дополнительные сертификаты аутентификации active_directory_certificate_services_attacks: PT-CR-2475: ADCS_Certificate_Template_Disable_SID_Publication: Потенциально опасное изменение шаблона сертификата. Отключена публикация расширения, содержащего SID пользователя, что позволит злоумышленникам использовать этот шаблон в атаках, нацеленных на кражу учетных данных пользователей домена active_directory_certificate_services_attacks: PT-CR-2427: ADCS_Disabled_Extensions_List_Modification: Пользователь изменил параметры, отвечающие за публикацию расширений в выпускаемых центром сертификатах active_directory_certificate_services_attacks: PT-CR-2476: ADCS_Create_Vulnerable_Certificate_Template: Создан уязвимый шаблон сертификата, который позволяет проходить аутентификацию без дополнительных подписей и одобрения, при этом имя субъекта или дополнительное имя может быть указано в запросе. Злоумышленники могут использовать этот шаблон в атаках, нацеленных на кражу учетных данных пользователей active_directory_attacks: PT-CR-833: DC_Auth_With_Pfx: Пользователь запросил билет проверки подлинности (TGT) с помощью сертификата или смарт-карты. Злоумышленники могут использовать такой билет, чтобы получить NTLM-хеш учетной записи и с его помощью провести атаку Pass-the-hash или Silver Ticket active_directory_attacks: PT-CR-1216: Golden_Cert: Запрошены TGT-билеты по сертификату центра сертификации, скомпрометированному ранее. Атакующий может восстановить хеши паролей из полученных билетов (UnPac the Hash) и скомпрометировать домен
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд и других утилит для подделки и (или) кражи сертификатов и их закрытых ключей. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Доступ к ключу реестра Windows | Описание | Отслеживайте попытки доступа к хранящимся в реестре данным о сертификатах и закрытых ключах, связанных с ними. Например, сертификаты пользователей обычно хранятся в |
---|
ID | DS0026 | Источник и компонент данных | Active Directory: Запрос учетных данных Active Directory | Описание | Отслеживайте аномальную деятельность, связанную с запросами к службе сертификации AD (например, события с идентификатором 4886) и выдачей сертификатов (например, события с идентификатором 4887), включая регистрацию нетипичных сертификатов и признаки манипулирования их атрибутами (например, использование уязвимых значений EKU). |
---|
ID | DS0026 | Источник и компонент данных | Active Directory: Изменение объекта Active Directory | Описание | Отслеживайте изменения в атрибутах и настройках центра сертификации, включая модификацию шаблонов службы сертификации AD (например, события с идентификаторами 4899 и 4900 после регистрации потенциально вредоносного сертификата). |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Включите журналы аудита центра сертификации и отслеживайте признаки несанкционированного использования связанных служб. |
---|
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Отслеживайте события аутентификации, связанные с сертификатами, например события с идентификатором 4768, когда сертификат AD CS используется для аутентификации через Kerberos (особенно если это не легитимно выданный сертификат). Также обратите внимание на случаи, когда в событиях входа с идентификатором 4624 в качестве |
---|
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте попытки доступа к файлам, в которых хранятся данные о сертификатах и закрытых ключах, связанных с ними. Например, личные сертификаты пользователей могут храниться на диске в папке |
---|
Меры противодействия
ID | M1015 | Название | Конфигурация Active Directory | Описание | Обеспечьте надлежащую защиту центров сертификации (ЦС), в том числе обеспечьте обращение с серверами ЦС (и другими ресурсами, хранящими сертификаты ЦС) как с активами нулевого уровня (tier 0). Защитите уязвимые настройки и атрибуты ЦС. Например, отключите использование сертификатов SAN AD CS в соответствующих настройках протокола аутентификации, чтобы обеспечить строгое сопоставление пользователей и предотвратить аутентификацию сертификатов в качестве других идентификаторов. Также по возможности используйте диспетчер сертификатов CA Certificate Manager для одобрения шаблонов, включающих SAN в качестве требования для выдачи. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | По возможности отключите старые/опасные протоколы аутентификации (например, NTLM), а также ненужные функции сертификата, такие как потенциально уязвимые веб-роли AD CS и других серверов регистрации. |
---|
ID | M1041 | Название | Шифрование важной информации | Описание | Обеспечьте надлежащую защиту сертификатов и связанных с ними закрытых ключей. По возможности используйте дополнительные аппаратные средства защиты учетных данных, такие как доверенные платформенные модули (TPM) или аппаратные модули безопасности (HSM). Применяйте HTTPS и включите расширенную защиту для аутентификации. |
---|
ID | M1047 | Название | Аудит | Описание | Проверяйте системы на наличие ненужных существующих сертификатов аутентификации, а также распространенных злоупотреблений в настройках и разрешениях CA, таких как разрешения на регистрацию сертификатов AD CS и опубликованные шаблоны сертификатов со слишком высоким уровнем разрешений (они определяют доступные параметры для создаваемых сертификатов). Например, доступные шаблоны сертификатов AD CS можно проверить с помощью оснастки Certificate Authority MMC ( |
---|