Пароли - это ключи от королевства в любой среде, и современные передовые методы обеспечения безопасности предписывают нам использовать более сложные пароли. Хотя эти практики направлены на повышение безопасности, они также усложнили запоминание паролей, что привело к тому, что многие пользователи стали хранить их в менеджерах паролей и хранилищах учетных данных браузеров для удобства. В хранилищах паролей часто хранятся открытые или зашифрованные учетные данные, которые, будучи скомпрометированными, могут предоставить атакующим несанкционированный доступ к критически важным системам.
Использование злоумышленниками учетных данных из хранилищ паролей
Злоумышленники используют технику Учетные данные из хранилищ паролей (Credentials from Password Stores) для сбора учетных данных, хранящихся в хранилищах безопасности, что позволяет им расширить свой доступ в целевой среде. Поскольку хранилища паролей часто содержат конфиденциальную информацию, например учетные данные для корпоративных систем, облачных сервисов и критически важных приложений, они особенно привлекательны для атакующих. Взломанные хранилища паролей могут предоставить злоумышленникам повышенные привилегии, что облегчает сохранение данных, перемещение по сети и доступ к ценным данным.
Эта техника часто требует от атакующих получения доступа к устройству или приложению, на котором хранится хранилище паролей. Первоначальный доступ может быть получен с помощью фишинга (T1566) или эксплуатации публичных приложений (T1190). Попав внутрь, атакующие используют различные тактики, включая злоупотребление административными привилегиями или использование слабых мест в конструкции хранилища паролей, для расшифровки или прямого извлечения хранимых учетных данных. Например, менеджеры паролей и браузерные хранилища часто используют шифрование для защиты хранимых данных, но если злоумышленник получает доступ к мастер-ключу или использует недостатки конструкции, зашифрованные конфиденциальные данные становятся открытыми.
Получив хранящиеся учетные данные, злоумышленники могут обойти другие средства контроля безопасности, такие как многофакторная аутентификация (MFA), получить доступ к конфиденциальным данным или выдать себя за легитимного пользователя. Кроме того, учетные данные, извлеченные из хранилищ паролей, часто содержат сведения о привилегированных учетных записях или учетных записях служб, которые особенно ценны для расширения масштабов атаки или достижения полной компрометации домена.
Повышение привилегий
Извлекая учетные данные, хранящиеся в хранилищах паролей, атакующие могут получить доступ к учетным записям с более высокими привилегиями, чем их первоначальная позиция, что позволит им выполнять действия или получать доступ к системам, которые в противном случае были бы ограничены. Например, многие пользователи и приложения хранят учетные данные администраторов или служб в менеджерах паролей, хранилищах в браузере или связках ключей операционной системы. Если злоумышленник скомпрометирует машину или приложение и извлечет эти учетные данные, он сможет использовать их для входа в учетные записи с повышенными привилегиями, такие как администраторы домена, системные администраторы или привилегированные учетные записи облачных сервисов. Такой доступ позволяет атакующему обойти ограничения привилегий, наложенные на его первоначальную учетную запись, и значительно увеличить свой контроль над средой.
Боковое перемещение
Латеральное перемещение подразумевает расширение доступа атакующего к системам и сетям после получения первоначального плацдарма. Извлечение учетных данных из хранилищ паролей - особенно эффективный метод для этой цели, поскольку он часто позволяет злоумышленнику получить законные данные аутентификации для других учетных записей, систем или приложений. Например, в таких хранилищах могут храниться учетные данные для подключения к удаленному рабочему столу, VPN или привилегированным учетным записям. Используя эти учетные данные, атакующие могут аутентифицироваться в других системах в сети как легитимные пользователи, обходя многие механизмы безопасности, которые могут блокировать несанкционированный доступ.
Кроме того, извлеченные учетные данные могут принадлежать пользователям, имеющим доступ к критическим или взаимосвязанным системам, таким как файловые ресурсы, серверы электронной почты или административные консоли. Используя эти учетные данные, злоумышленники могут перемещаться по сети, добиваясь устойчивости и выявляя дополнительные цели для эксплуатации.
Уклонение от защиты
С помощью извлеченных учетных данных злоумышленники могут выдавать себя за легитимных пользователей, чтобы получить доступ к системам, приложениям или ресурсам. Действия скомпрометированных пользователей могут казаться нормальными для систем мониторинга безопасности, что снижает вероятность срабатывания предупреждений. Например, вход в систему с учетными данными законного пользователя часто позволяет обойти средства контроля на основе аутентификации, включая многофакторную аутентификацию (MFA), если извлеченные учетные данные включают токены или информацию о сеансе.
Кроме того, злоумышленники могут использовать учетные данные, чтобы избежать средств обнаружения, которые отслеживают попытки несанкционированного выполнения или повышения привилегий. Вместо того чтобы внедрять вредоносное ПО или использовать методы, основанные на эксплойтах, которые могут спровоцировать срабатывание антивирусов или систем обнаружения конечных точек, атакующие с извлеченными учетными данными могут выполнять свои задачи напрямую через авторизованные учетные записи и одобренные инструменты. Такая стратегия минимизирует их зависимость от потенциально обнаруживаемых вредоносных инструментов или методов.
Постоянство
Извлекая сохраненные учетные данные, злоумышленники могут получить доступ к учетным записям, которые позволят им по своему усмотрению снова войти в целевую среду. Эти учетные данные могут принадлежать привилегированным пользователям, учетным записям служб или «облачных» приложений, что дает атакующим множество возможностей для сохранения доступа. Например, если атакующие получат учетные данные администратора или системной учетной записи, они смогут использовать их для удаленного входа в среду, создания учетных записей бэкдоров или изменения конфигурации, чтобы закрепиться в ней.
Более того, использование легитимных учетных данных для сохранения особенно выгодно для злоумышленников, поскольку позволяет им смешивать свою деятельность с обычным поведением пользователей. В отличие от методов сохранения, основанных на вредоносном ПО, которые предполагают внедрение дополнительного кода или создание подозрительных записей в реестре, использование учетных данных кажется инструментам мониторинга безопасности менее аномальным. Это затрудняет обнаружение и позволяет атакующим действовать скрытно.