Найти в Дзене
365 подписчиков

TTP. Руководство Кибермага


📌Доступ к учётным данным / подбор пароля T1110: используются password-spray и подбор паролей в качестве начальных векторов заражения. Подход предполагает попытку ввода нескольких паролей для разных учётных записей или многочисленные попытки для одной учётной записи для получения несанкционированного доступа.
📌Первоначальный доступ / T1078.004 Действительные учётные записи: Облачные учётные записи: получение доступа к облачным сервисам, используя скомпрометированные учётные данные: как системные учётные записи (используемые для автоматизированных задач и служб), так и неактивные учётные записи, учётные которые все ещё остаются в системе.
📌Доступ к учётным данным / T1528 Кража токена доступа к приложению: злоумышленники используют украденные токены доступа для входа в учётные записи без необходимости ввода паролей. Токены доступа — это цифровые ключи, которые позволяют получить доступ к учётным записям пользователей. Их получение позволяет обойти традиционные механизмы входа в систему.
📌Доступ к учётным данным / Формирование запроса многофакторной аутентификации T1621: метод «бомбардировка MFA» предполагает, что злоумышленники неоднократно отправляют запросы MFA на устройство жертвы. Цель состоит в том, чтобы жертва приняла запрос и таким образом предоставила злоумышленнику доступ.
📌Командование и контроль / T1090.002 Прокси: Внешний прокси: чтобы поддерживать «тайные операции и сливаться с обычным трафиком», используются открытые прокси, расположенные в частных диапазонах IP-адресов, т.к. вредоносные соединения сложнее отличить от легальной активности пользователей в журналах доступа.
📌Успешная регистрация устройства может обеспечить постоянный доступ к облачной среде.
Доступ через сервисные и спящие учётные записи
Одна из ключевых стратегий, применяемых злоумышленниками, предполагает нацеливание на сервисные и неактивные учётные записи в облачных средах. Учётные записи служб используются для запуска приложений и служб и управления ими без прямого взаимодействия с человеком. Эти учётные записи особенно уязвимы, поскольку их часто невозможно защитить с помощью многофакторной аутентификации (MFA), и они могут иметь высокопривилегированный доступ в зависимости от их роли в управлении приложениями и службами. Получив доступ к этим учётным записям, злоумышленники могут получить привилегированный первоначальный доступ к сети, которую они используют в качестве стартовой площадки для дальнейших операций.
Кампании нацелены на неактивные учётные записи, пользователи которых больше не активны в организации-жертве, но не были удалены из системы. Эти учётные записи могут быть использованы для восстановления доступа к сети, особенно после мер реагирования на инциденты, таких как принудительный сброс пароля. Было замечено, что субъекты входили в эти неактивные учётные записи и следовали инструкциям по сбросу пароля, что позволяло им сохранять доступ даже после того, как группы реагирования на инциденты пытались их «выселить».
Аутентификация токена на основе облака
Ещё один TTP — это использование аутентификации на основе облачных токенов. Замечено, что злоумышленники использовали выданные системой токены доступа для аутентификации в учётных записях жертв без необходимости ввода пароля. Этот метод позволяет обходить традиционные методы аутентификации на основе учётных данных и может быть особенно эффективным, если срок действия этих токенов длительный, или если токены не защищены должным образом.
Брутфорс и password-spray
Использование злоумышленниками атаки (T1110) применяется в качестве начальных векторов заражения. Метод включают попытку доступа к учётным записям путём перебора множества паролей или использования общих паролей для многих учётных записей соответственно. Метод часто бывает успешен из-за использования слабых или повторно используемых паролей для разных учётных записей.
Роль токенов доступа
Токены доступа являются неотъемлемой частью современных систем аутентификации, особенно в облачных средах. Они предназначены для упрощения процесса входа в систему для пользователей и обеспечения безо
3 минуты