MITRE ATT&CK T1555.004 - Учетные данные из хранилищ паролей: Диспетчер учетных данных Windows

Диспетчер учетных данных Windows - это встроенная функция Microsoft Windows, которая позволяет пользователям безопасно хранить и управлять учетными данными, такими как имена пользователей, пароли и маркеры аутентификации. Она предназначена для упрощения работы пользователей путем автоматического сохранения и получения учетных данных для веб-сайтов, сетевых ресурсов и других ресурсов, что избавляет пользователей от необходимости запоминать несколько паролей. Эта функция интегрирована в операционную систему Windows и доступна через панель управления или настройки.

Учетные данные из хранилищ паролей: Диспетчер учетных данных Windows

Менеджер учетных данных выступает в качестве безопасного хранилища конфиденциальных данных. Когда пользователь входит на веб-сайт или подключается к сетевому ресурсу, Windows предлагает сохранить учетные данные для входа. Эти учетные данные затем шифруются и хранятся локально в системе. Windows использует свой Data Protection API (DPAPI) для шифрования этой информации, привязывая ключи шифрования к учетной записи пользователя. Это гарантирует, что только аутентифицированный пользователь может получить доступ к хранящимся учетным данным, обеспечивая уровень защиты от несанкционированного доступа.

В диспетчере учетных данных Windows Credential Manager хранятся два основных типа учетных данных: Учетные данные Web и Учетные данные Windows. Веб-учетные данные используются для входа в систему, связанную с Интернетом, например на веб-сайтах и в веб-приложениях, а в диспетчере учетных данных Windows хранятся данные проверки подлинности для общих сетевых ресурсов, дисков с мапингом и корпоративных приложений. Менеджер также поддерживает сертификаты и общие учетные данные, которые могут использоваться в пользовательских приложениях.

Злоумышленники используют диспетчер учетных данных Windows для извлечения конфиденциальных данных аутентификации. Хотя диспетчер учетных данных разработан для повышения удобства использования и безопасности, он стал мишенью для атакующих, стремящихся получить сохраненные учетные данные для несанкционированного доступа и дальнейших вредоносных действий.

Как и в случае с другими техниками доступа к учетным данным, злоумышленники обычно начинают с получения доступа к целевой системе. Это может быть достигнуто с помощью фишинговых атак, доставки вредоносного ПО, использования уязвимостей или других векторов первоначального доступа. Попав в систему, атакующие стремятся повысить свои привилегии, чтобы получить права администратора или доступ к конкретной учетной записи пользователя, чьи учетные данные они собираются извлечь. Повышение привилегий часто необходимо, поскольку Credential Manager шифрует хранимые данные и ограничивает доступ в зависимости от контекста аутентификации пользователя. Получив необходимые привилегии, злоумышленники могут извлекать учетные данные с помощью различных методов и инструментов.

Один из распространенных подходов - использование легитимных команд Windows или сценариев PowerShell для взаимодействия с диспетчером учетных данных. Например, атакующие могут использовать такие команды, как cmdkey, чтобы вывести список сохраненных учетных данных или манипулировать записями Credential Manager. В декабре 2024 года сообщалось, что вредоносная программа DarkGate использует cmdkey.exe для просмотра, извлечения и удаления сохраненных учетных данных, хранящихся в диспетчере учетных данных Windows.

Еще одним распространенным инструментом является Mimikatz, фреймворк для пост-эксплойтов, способный сбрасывать учетные данные в открытом виде из памяти или извлекать зашифрованные учетные данные из хранилища. В августе 2024 года сообщалось, что APT-группа Slow Tempest использовала Mimikatz для дампа NTLM-хэшей [4].Злоумышленники могут взломать эти хэши, чтобы получить учетные данные в открытом виде или использовать их в атаках Pass-the-Hash для латерального перемещения. В данном примере Slow Tempest использовал извлеченные NTLM-хэши для атаки Pass-the-Hash с помощью Mimikatz, crackmapexec и psexec.