Обнаружение атак с попытками получения учетных данных в MaxPatrol SIEM
По сообщению компании Positive Technologies, в пакет MaxPatrol SIEM загружены 19 новых правил для обнаружения атак, нацеленных на получение учетных данных (Credential Access). Это четвертый пакет экспертизы из специальной серии для покрытия тактик модели MITRE ATT&CK. С его помощью пользователи смогут предотвратить получение злоумышленниками легитимных учетных данных, которое в случае успеха атаки усложнило бы обнаружение атакующих в системе.
Тактика «Получение учетных данных» объединяет техники, нацеленные на кражу учетных имен и паролей. Это возможно, например, с помощью подбора паролей (брутфорс), поиска файлов, содержащих пароли, дампинга учетных записей, эксплуатации уязвимостей. Использование легитимных учетных записей помогает злоумышленникам получить доступ к системам, создать новые учетные записи для ускорения достижения их целей и усложняет обнаружение их присутствия.
Как поясняют эксперты PT Expert Security Center, Credential Access – один из самых эффективных инструментов в арсенале атакующих. Получив доступ хотя бы к одному сетевому узлу, они применяют отлаженный сценарий для дальнейшего продвижения в инфраструктуре. Злоумышленники получают содержимое памяти процессов или файлов и используют полученные оттуда учетные данные для доступа к другим системам.
Новый пакет экспертизы нацелен на выявление трех распространенных техник кражи учетных данных:
• Credential Dumping – получение учетных данных из дампа памяти системных служб Windows или стороннего ПО. Пароли могут храниться в открытом виде или в виде контрольной суммы;
• Credentials in Files – поиск учетных данных в файловой системе или в общих папках. Например, такие данные могут содержаться в файлах, созданных самими пользователями, или в конфигурационных файлах ПО. Учетные данные также могут сохраняться на контроллерах домена, в файлах предпочтений групповой политики (GPP);
• Credentials in Registry – поиск учетных данных в реестре Windows. В разделах реестра могут храниться учетные данные для автоматического ввода в ОС или стороннем ПО.
К техникам получения учетных данных относится также брутфорс, правила для его выявления были загружены в MaxPatrol SIEM отдельным пакетом экспертизы в начале года.