凭证访问(二)"/>
ATTCK v13版本战术介绍——凭证访问(二)
一、引言
在前几期文章中我们介绍了ATT&CK中侦察、资源开发、初始访问、执行、持久化、提权、防御规避战术,本期我们为大家介绍ATT&CK 14项战术中凭证访问战术第7-12种子技术,后续会介绍凭证访问其他子技术,敬请关注。
二、ATT&CK v13简介
MITRE ATT&CK 是一个全球可访问的基于现实世界观察的攻防战术和技术知识库。ATT&CK知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。
2023年 4月25日,MITRE ATT&CK 发布了最新版本 V13,最大的变化是为ATT&CK中的一些技术添加了详细的检测指导,用于企业,移动数据源和两种新类型的更改日志(包括一个人类可读的详细更改日志,更具体地显示更新的ATT&CK对象中的更改,以及一个机器可读的JSON更改日志,其格式在ATT&CK的Github中描述)。
ATT&CK for Enterprise v13 包含14个战术、196个技术、411个子技术、138个组织和740个软件。
ATT&CK战术全景图(红框为凭证访问战术)
三、凭证访问战术
3.1 概述
凭证访问包括窃取凭证(如帐户名和密码)的技术。用于获取凭证的技术包括键盘记录或凭证转储,使用合法凭证可以让攻击者访问系统,使其更难检测。
3.2 输入捕捉(T1056)
攻击者可以捕获用户输入来获取凭据或收集信息。在系统使用期间,用户经常向各种不同的位置提供凭据,例如登录页面或系统对话框。输入捕获机制可能对用户是透明的,或者依赖于欺骗用户提供他们认为是真正服务的输入。
输入捕捉包含4项子技术,介绍如下:
3.2.1 键盘记录(T1056.001)
当用户键入凭据时,攻击者可能会记录用户击键以拦截凭据。当操作系统凭证转储工作无效时,键盘记录很可能被用来获取新的访问机会的凭证,并且可能需要攻击者在系统上拦截一段时间的击键,然后才能成功捕获凭证。
键盘记录是最常见的输入捕获类型,有许多不同的方式实现如下:
1) 用于处理击键的API回调,与凭证API不同,这只关注用于处理击键数据的API函数。
2) 从硬件缓冲区读取原始击键数据。
3) Windows注册表修改。
4) 自定义驱动程序。
5) 修改系统镜像可以为攻击者提供连接到网络设备操作系统的钩子,以读取登录会话的原始击键。
3.2.2 GUI输入捕获(T1056.002)
攻击者可能会模仿常见的操作系统GUI组件,以看似合法的提示提示用户输入凭据。当执行的程序需要比当前用户上下文中更多的特权时,操作系统通常会提示用户提供适当的凭据以授权任务的提升特权。
3.2.3 门户网站捕获(T1056.003)
攻击者可能会在外部面向门户(如VPN登录页面)上安装代码,以捕获和传输尝试登录服务的用户凭据。例如,受感染的登录页面可能会在将用户登录到服务之前记录所提供的用户凭据。
3.2.4 凭证API挂钩(T1056.004)
攻击者可能会通过Windows应用程序编程接口API函数以收集用户凭据。恶意挂钩机制可能会捕获API调用,其中包含揭示用户身份验证凭据的参数。与键盘记录不同,这种技术特别关注包含显示用户凭据的参数的API函数,挂钩涉及将调用重定向到这些函数。
3.2.5 检测
ID | 数据源 | 数据组件 | 检测 |
DS0027 | 驱动 | 驱动负载 | 监控异常的内核驱动程序安装活动 |
DS0022 | 文件 | 文件修改 | 监控对文件所做的更改,以获取对访问权限和属性的意外修改 |
DS0009 | 进程 | OS API执行 | 监控对SetWindowsHook、GetKeyState和GetAsyncKeyState的API调用 |
进程创建 | 监控进行恶意活动的新执行进程 | ||
进程元数据 | 通过将内存中的代码与相应的静态二进制代码进行比较来验证实时进程的完整性,特别是检查跳转和其他重定向代码流的指令。 | ||
DS0024 | Windows注册表 | Windows注册表项修改 | 监控对windows注册表项所做的更改以进行意外修改 |
3.3 修改身份证过程(T1556)
攻击者可以修改身份验证机制和流程,以访问用户凭据或启用不必要的对账户的访问。身份验证过程通过机制处理,例如Windows上的本地安全身份验证服务器(LSASS)进程和安全帐户管理器(SAM)等。
攻击者可能会恶意篡改身份验证过程,以泄露凭据或绕过身份验证机制。泄露的凭据可用于绕过访问控制,并持续访问远程系统和外部可用服务。
修改身份验证过程技术包含8项子技术,介绍如下:
3.3.1 域控制器验证(T1556.001)
攻击者可能会修改域控制器上的身份验证过程,以绕过典型的身份验证机制访问账户。
恶意软件可用于在域控制器上的身份验证过程中注入虚假凭据,目的是创建用于访问任何用户的帐户或凭据的后门。经过身份验证的访问可以实现对单因素身份验证环境中的主机或资源的无限制访问。
3.3.2 密码过滤器DLL(T1556.002)
攻击者可能会将恶意密码过滤器动态链接库(Dll)注册到身份验证过程中,以便在验证用户凭据时获取这些凭据。
Windows密码过滤器是域和本地帐户的密码策略强制机制。过滤器作为Dll实现,其中包含根据密码策略验证潜在密码的方法。
攻击者可以注册恶意密码过滤器,以从本地计算机或整个域获取凭据。要执行正确的验证,过滤器必须从LSA接收纯文本凭据。每次发出密码请求时,恶意密码过滤器都会收到这些纯文本凭据。
3.3.3 可插入的身份验证模块(T1556.003)
攻击者可修改可插入的身份验证模块(PAM)以访问用户凭据或非法访问帐户。PAM是一个由配置文件、库和可执行文件组成的模块化系统,用于指导许多服务的身份验证。
攻击者可能会修改PAM系统的组件以创建后门。对PAM系统的恶意修改也可被利用以窃
更多推荐
ATTCK v13版本战术介绍——凭证访问(二)
发布评论