Главная страница » MITRE ATT&CK
0
12 часов
MITRE ATT&CK

MITRE ATT&CK T1078: Объяснение техники «Действительные учетные записи»

MITRE ATT&CK

MITRE ATT&CK T1078 (Действительные учетные записи) описывает технику, при которой злоумышленники используют легитимные учетные данные, включая учетные записи по умолчанию, локальные, доменные или облачные, для доступа к системам, поддержания устойчивости и повышения привилегий без эксплуатации уязвимостей программного обеспечения. Аутентифицируясь как авторизованные пользователи, атакующие обходят многие средства защиты и маскируются под обычную активность, что затрудняет обнаружение.

Злоупотребление действительными учетными записями позволяет одновременно достигать нескольких целей атаки: первоначальный доступ, перемещение по сети, устойчивость, повышение привилегий и уклонение от защиты. Поскольку доступ на основе идентификации становится центральным элементом современных ИТ- и облачных сред, T1078 стала одной из самых надежных и часто используемых техник в реальных атаках.

Отраслевые исследования подтверждают эту тенденцию. Исследование показало, что использование действительных учетных записей оказывалось успешным в 98% тестируемых сред, в то время как другие данные свидетельствуют, что почти треть инцидентов полагалась на легитимные учетные данные, а не на вредоносное ПО или эксплуатацию уязвимостей.

Для защитников это делает T1078 не просто распространенной техникой, а фундаментальным риском, связанным с идентификацией, который необходимо решать напрямую.

Содержание
  1. T1078.001 Действительные учетные записи: Учетные записи по умолчанию
  2. T1078.002 Действительные учетные записи: Доменные учетные записи
  3. T1078.003 Действительные учетные записи: Локальные учетные записи
  4. T1078.004 Действительные учетные записи: Облачные учетные записи
  5. Ключевые выводы

T1078.001 Действительные учетные записи: Учетные записи по умолчанию

Учетные записи по умолчанию - это подтехника MITRE ATT&CK, при которой злоумышленники используют встроенные или предустановленные учетные данные, поставляемые с системами, программным обеспечением или устройствами. Эти учетные записи часто предварительно сконфигурированы, хорошо известны или не изменяются после развертывания, что делает их легкой мишенью.

Примеры:

  • Учетные записи Administrator/Guest по умолчанию в Windows.
  • Учетная запись root в Linux-системах.
  • Учетные записи, заданные поставщиком на устройствах.
  • Учетные записи служб по умолчанию в облачных платформах (например, root-пользователь AWS, сервисные аккаунты Kubernetes).
  • Использование злоумышленниками:
    Атакующие используют учетные данные по умолчанию для первоначального доступа, поддержания устойчивости, повышения привилегий и уклонения от защиты, потому что:
  • Эти учетные данные широко задокументированы или легко угадываются.
  • Устройства или приложения часто поставляются с известными парами логин/пароль или предустановленными ключами, которые редко меняются.
  • Учетные записи по умолчанию позволяют атакующим обходить контроль доступа, аутентифицироваться легитимно и маскироваться под обычную активность.

Современные отчеты об угрозах подчеркивают продолжающееся злоупотребление учетными записями по умолчанию:

  • Группа WARP PANDA использовала встроенную учетную запись VMware vpxuser для закрепления в системах vCenter и ESXi.
  • Кампании с трояном ShadowPad связывали активность по повышению привилегий с учетными записями по умолчанию.
  • Операции ransomware Beast явно включают T1078.001 в свой процесс повышения привилегий.
  • В кампании Console Chaos злоумышленники использовали учетную запись гостя по умолчанию на межсетевых экранах FortiGate для доступа через SSL VPN.
  • Эти случаи демонстрируют, что T1078.001 остается надежной и широко используемой техникой в современных цепочках атак, особенно там, где сохраняются конфигурации по умолчанию.

T1078.002 Действительные учетные записи: Доменные учетные записи

Доменные учетные записи — это подтехника MITRE ATT&CK, при которой злоумышленники используют легитимные учетные данные доменных учетных записей, управляемых службами домена Active Directory. Эти учетные записи позволяют атакующим получать доступ, сохранять устойчивость и повышать привилегии в сети, оставаясь незамеченными.

Атакующие обычно получают эти учетные данные путем дампинга учетных данных, фишинга или повторного использования паролей. Скомпрометированные доменные учетные записи используются для перемещения по сети, повышения привилегий и маскировки под легитимный трафик.

Использование злоумышленниками:

  • Ransomware "The Gentlemen": использовал привилегированные доменные учетные записи для развертывания шифровальщика и реализации стратегий уклонения.
  • Группа LV Ransomware: получала права доменного администратора через скомпрометированные учетные данные.
  • Группа DragonForce: злоупотребляла доменными учетными записями для сохранения доступа и создания бэкдоров. Атакующие могли использовать учетные данные доменного администратора для доступа к любой системе, имея несколько запасных вариантов для сохранения доступа.

T1078.003 Действительные учетные записи: Локальные учетные записи

Локальные учетные записи - это подтехника MITRE ATT&CK, при которой злоумышленники используют учетные данные локальных учетных записей для доступа к отдельным системам. Эти учетные записи не управляются централизованно через Active Directory.

Атакующие получают эти учетные данные через дампинг, фишинг, повторное использование паролей или брутфорс. Скомпрометированные локальные учетные записи используются для:

  • Первоначального доступа к хосту.
  • Поддержания устойчивости без развертывания явного вредоносного ПО.
  • Повышения привилегий за счет слабых или повторно используемых паролей.
  • Уклонения от защиты путем маскировки под обычную активность.
  • Перемещения по сети, если одни и те же учетные данные используются на нескольких системах.

Использование злоумышленниками:

  • Ransomware Play (PlayCrypt): использовал учетные данные как доменных, так и локальных учетных записей для перемещения по сети и поддержания устойчивости.
  • Активные вторжения: T1078.003 часто используется для доступа и устойчивости в текущих атаках наряду с другими техниками.

T1078.004 Действительные учетные записи: Облачные учетные записи

Облачные учетные записи — это техника MITRE ATT&CK, при которой атакующие используют легитимные облачные идентификаторы для получения и поддержания доступа в облачных средах. К ним относятся пользовательские, административные, сервисные и федеративные учетные записи.

Учетные данные обычно получают через фишинг, кражу токенов, небезопасные конфигурации или компрометацию доверительных отношений. Это позволяет злоумышленникам:

  • Получать доступ к облачным данным и API.
  • Выполнять административные действия.
  • Создавать новых пользователей или токены для устойчивости.
  • Злоупотреблять небезопасными настройками IAM для повышения привилегий.
  • Перемещаться между облачной и локальной средами.
  • Действия, выполняемые с действительными учетными данными, сложно обнаружить, так как они сливаются с обычным поведением пользователя.

Использование злоумышленниками:

  • Кампания EXTEN ransomware: операторы использовали скомпрометированные облачные учетные записи как доверенные точки входа.
  • Группа Scattered Spider (атаки на ритейл в Великобритании, 2025): после получения учетных данных использовала действительные облачные учетные записи для доступа к платформам идентификации и SaaS-сервисам. Это позволило группе действовать как легитимные пользователи, проводить разведку, создавать учетные записи для устойчивости и похищать данные перед развертыванием ransomware DragonForce.
  • APT Silk Typhoon (HAFNIUM): группа использовала облачные учетные записи, субъекты-службы и API-ключи для расширения доступа и проведения шпионских операций. Злоупотребляя легитимными облачными идентификаторами, группа перемещалась из локальных сред в облачные tenants, манипулировала приложениями OAuth и тихо похищала данные через Microsoft Graph API.

Ключевые выводы

  • Высокая эффективность: T1078 - одна из самых надежных техник, успешная в 98% тестируемых сред. Злоупотребление идентификацией остановить сложнее, чем вредоносное ПО или эксплуатацию уязвимостей.
  • Предпочтение "входа" перед "взломом": Почти треть инцидентов основана на легитимных учетных данных, что позволяет обходить традиционные средства защиты.
  • Активное использование всех подтехник:
    • T1078.001: через неизмененные учетные данные по умолчанию.
    • T1078.002: для перемещения и устойчивости в ransomware-атаках.
    • T1078.003: для скрытного доступа к хостам и создания запасных точек устойчивости.
    • T1078.004: как ключевой элемент атак на SaaS и системы идентификации.
  • Многоцелевой характер: Доступ по учетным данным позволяет одновременно достигать нескольких целей атаки.
  • Сложность обнаружения: Активность атакующего выглядит легитимной, особенно в Active Directory и облачных платформах идентификации.
  • Облако и идентификация - новая поверхность атаки: Злоупотребление федеративными идентификаторами, субъектами-службами, приложениями OAuth и API-ключами обеспечивает скрытное перемещение между средами.
  • Оценка риска: Традиционные оценки серьезности уязвимостей часто не отражают реальный риск T1078, поскольку техника обходит средства защиты без эксплуатации уязвимостей.
  • Необходимость валидации: Эффективная защита требует проверки возможных путей злоупотребления идентификацией, а не просто мониторинга учетных данных или оценки уязвимостей.
Комментарии: 0
Похожие записи
0
03.06.2023
Индикаторы компрометации

Рассылка SMS-сообщений с темой судебных повесток с использованием мошеннического альфа-имени "SUDpovistka"

security
CERT-UA от участников информационного обмена получена информация о фактах распространения SMS-сообщений с использованием поддельного имени "SUDpovistka" (легитимное альфа-имя: "SUDPOVISTKA").
0
03.02.2026
Индикаторы компрометации

Уязвимость WinRAR CVE-2025-8088 остается под прицелом хакеров спустя полгода после патча

information security
Группа аналитиков угроз Google Threat Intelligence Group (GTIG) сообщает о продолжающейся активной эксплуатации критической уязвимости в архиваторе WinRAR для Windows, обозначенной как CVE-2025-8088.
0
26.08.2025
Безопасность

Французский ритейлер Auchan пострадал от кибератаки: скомпрометированы данные клиентов

security
Крупная французская розничная сеть Auchan объявила 21 августа о масштабной кибератаке, в результате которой была похищена информация о счетах программ лояльности, принадлежащая нескольким сотням тысяч клиентов.