Использование ответчика – Русские Блоги

Изучаем adversarial tactics, techniques & common knowledge (att@ck). enterprise tactics. часть 6

Ссылки на все части:
Часть 1. Получение первоначального доступа (Initial Access)
Часть 2. Выполнение (Execution)
Часть 3. Закрепление (Persistence)
Часть 4. Повышение привилегий (Privilege Escalation)
Часть 5. Обход защиты (Defense Evasion)
Часть 6. Получение учетных данных (Credential Access)
Часть 7. Обнаружение (Discovery)
Часть 8. Боковое перемещение (Lateral Movement)
Часть 9. Сбор данных (Collection)
Часть 10 Эксфильтрация или утечка данных (Exfiltration)
Часть 11. Командование и управление (Command and Control)

Получив учетные данные, злоумышленник получает доступ к системе и даже может управлять служебными (техническими) учетными записями. Противник, вероятно, попытается получить доступ к действующим учетным записям пользователей и администраторов. Антагонист также может создавать учетные записи с намерением использовать их в атакуемой среде в будущем.

Автор просит прощения и помилования, но не несет никакой ответственности за результаты использования информации, представленной в статье. Опубликованная информация является неограниченным пересказом того, что содержится в MITRE ATTCHK.

Система:

Windows

Права:

Администратор

Описание:

Поддержание определенного уровня прав доступа в атакуемой среде является целью манипулирования учетной записью. Разрешения, настройки учетной записи и процесс аутентификации учетной записи могут быть изменены в рамках манипуляций. Угрозы злоумышленника могут быть использованы для подрыва правил безопасности, таких как истечение срока действия пароля или продление срока действия скомпрометированных учетных записей. Чтобы создавать или управлять учетными записями, злоумышленник должен иметь доступ к необходимым разрешениям домена и системы.

Используйте многофакторную аутентификацию для обеспечения безопасности. Для защиты контроллеров домена следует предоставлять ограниченный доступ. На непривилегированных системах и во время рутинных операций, которые могут поставить их под угрозу, отключите учетные записи администраторов домена.

Система:

MacOS и Linux

Права:

Брюгер

Описание:

Используя инструмент History, Bash ведет запись всех команд, которые были выполнены пользователем. История пользователя сохраняется в файл при выходе из системы.

~/.bash_history

. В этом файле хранятся 500 последних команд пользователя. В некоторых случаях параметры команды позволяют пользователю указать имя пользователя и пароль.

~/.bash_history

Когда пользователь выходит из системы, альтернативные логины. Злоумышленники могут получить доступ к файлам на YouTube.

~/.bash_history

Многие пользователи системы пытаются получить свои учетные данные.

Рекомендации по защите: Существует несколько способов предотвращения записи истории команд в файл ~/.bash_history:
set o history — отключить запись;
set -o history — возобновить запись;
unset HISTFILE — добавление в файл bash_rc;
ln -s /dev/null ~/.bash_history — записать историю команд в /dev/null.

Система:

Windows, Linux, macOS

Права:

Брюгер

Описание:

Если у противника нет хэша пароля, он может использовать инструменты для подбора паролей. Вычисляя кэши или используя радужные таблицы, противники могут применять методичные стратегии подбора. Для взлома хэша используются внешние системы. Злоумышленники могут попытаться войти в систему, используя пустое значение пароля или одно из списка возможных, если они не знают пароля. Противник может использовать “подбор пароля”, который основан на переборе наиболее распространенных или вероятных паролей, чтобы обойти политику паролей, что может привести к многочисленным сбоям аутентификации и блокировке учетной записи. Таким образом, вероятность блокировки, которая происходит при поиске нескольких паролей от одной учетной записи, снижается.

Применяйте блокировку учетных записей после заранее определенного количества сбоев системы, в соответствии с рекомендациями по безопасности. Рекомендуется использовать многофакторную аутентификацию, если это вообще возможно. Пресекайте несанкционированный доступ к легитимным учетным записям (см. советы по предотвращению злоупотребления техникой “Действительные учетные записи”);

Система:

Windows, Linux, macOS

Права:

Администратор, System root

Описание:

Дампинг учетных данных (

Англ. dumping – »захоронение отходов”

) – процедура получения логинов и паролей от операционной системы, обычно в виде хэшей или текстового кода. Существуют методы сброса учетных данных в Интернете.

Windows
SAM (Диспетчер учетных записей)
SAM — это база данных локальных учетных записей хоста. Как правило, в SAM хранятся учетные записи, которые показывает команда “net user“. Для чтения SAM требуется доступ системного уровня. Существует множество инструментов для извлечения данных SAM из памяти:
pwdumpx.exe;
gsecdump;
Mimikatz;
secretdump.py.

Файл SAM можно извлечь из реестра с помощью утилиты REG:
reg save HKLMsam sam;
reg save HKLMsystem system.

Далее Creddump7 поможет извлечь хэши из базы данных SAM.
Примечание:Rid 500 — это учетная запись встроенного локального администратора. Rid 501 — гостевая учетная запись. Учетные записи пользователей начинаются с Rid 1000 .

Кэшированные учетные данные (DCC2)
Domain Cached Credentials v2 (DCC2) — это кэш учетных данных, используемый в Windows Vista и более поздних версиях для аутентификации пользователя, когда контроллер домена недоступен. Количество кэшированных учетных записей может быть индивидуально для каждой системы. Этот хэш не подвержен атакам типа pass-the-hash. Для извлечения файла SAM из памяти применяются сл. инструменты:
pwdumpx.exe;
gsecdump;
Mimikatz;
secretdump.py
В качестве альтернативы также могут использоваться утилита Reg или Creddump7. Кэширование учетных данных в Windows Vista выполняется с использованием PBKDF2(стандарт формирования ключа из пароля).

Local Security Authority (LSA) Secrets
LSA Secrets — это хранилища кэшированных учетных, в которых система хранит учетные данные, включая пароли пользователей, учетных записей служб, пароли InternetExpolorer, SQL и другие приватные данные, например ключи шифрования кэшированных доменных паролей. Имея разрешения уровня System можно получить доступ к LSA Secrets, хранящихся в реестре:
HKEY_LOCAL_MACHINESECURITYPolicySecrets.
Когда сервисы стартуют в контексте локальной или доменной учетной записи их пароли хранятся в реестре. Если включен автоматический вход в систему, приватные данные учетной записи так же хранятся в реестре. По аналогии с предыдущими методами дампинга для атаки на LSA Secret применяются всё те же инструменты:
pwdumpx.exe;
gsecdump;
Mimikatz;
secretdump.py
Файл SAM можно извлечь из реестра с помощью утилиты REG, а учетные данные с помощью Creddump7. Извлеченные из LSA Secret пароли закодированы в UTF-16, т.е. открытым текстом. В Windows 10 применяются дополнительные средства защиты LSA Secret.

NTDS from Domain Controller
Для аутентификации и авторизации в AD хранится информация о членах домена — устройствах и пользователях. База данных AD по умолчанию хранится на контроллере домена в файле %SystemRoot%NTDSNtds.dit.
Для извлечения хэшей из базы данных AD применяются следующие методы и инструменты:
• Volume Shadow Copy (теневая копия тома);
• ntdsutil.exe;
• secretdump.py;
• Invoke-NinjaCopy
.

Group Policy Preference (GPP) Files
GPP или предпочтения групповой политики — это XML файлы, описывающие различные параметры доменных политик, например, подключение сетевого диска в контексте определённой учетной записи или предустановка локальных учетных записей в доменных системах. Такие файлы могут содержать учетные данные. Групповые политики хранятся в SYSVOL контроллера домена, поэтому любой пользователь может прочитать файлы GPP и попытаться дешифровать содержащиеся в них пароли с помощью сл. инструментов:
• Metasploit (post/windows/gather/credentials/gpp);
• Get-GPPPassword;
• gpprefdecrypt.py.

Для идентификации всех XML-файлов на ресурсе SYSVOL можно использовать команду:
dir /s *.xml.

Service Principal Names (SPNs)
см. технику Kerberoasting

Plaintext Credentials
После того как пользователь вошел в систему генерируется множество учетных данных, которые сохраняются в память процесса Local Authority Subsystem Service (LSASS). Эти учетные данные могут быть собраны администратором или System.

Security Support Provider Interface, или SSPI, – это стандартный интерфейс для многочисленных SAP. SSP – это программные модули (DL), которые содержат один или несколько протоколов криптографии и аутентификации.

Некоторые SSP могут быть использованы для получения учетных данных:
• Msv: интерактивный вход в систему, вход в качестве пакетного задания (batch logon), например, запуск заданий службы планировщика заданий, вход в систему в качестве службы осуществляется через пакет аутентификации MSV;
• Wdigest: Digest Authentication Protocol разработан для аутентификации в сети при использовании HTTP и SASL (Simple Authentication Security Layer);
• Kerberos: обеспечивает доменную аутентификацию в Windows 2000 и более поздних версиях;
• CredSSP: SSO (Single Sign-On — единый вход позволяет пользователям пройти проверку подлинности один раз и получать доступ к ресурсам без ввода учетных данных) и Network Level Authentication (применяется для аутентификации в Remote Desktop Services).

Инструменты для получения учетных данных:
Windows credential Editor;
• Mimikatz.

Дамп процесса LSASS может быть сохранен для последующего анализа в другой системе.
На целевом хосте выполняется команда:
procdump -ma lsass.exe lsass_dump

Далее, в другой системе запускается Mimikatz:
securlsa::Minidump lsassdump.dmp
sekurelsa::logonPasswords
.

DCSync
DCSync — разновидность дампинга учетных данных с контроллера домена. Злоупотребляя API-интерфейсом контроллера домена вместо использования вредоносного кода, который может быть опознан, злоумышленник может имитировать процесс репликации с удаленного контроллера домена. Члены групп Administrators, Domain Admins, Enterprise Admins или учетные записи компьютеров могут запускать DCSync для получения парольной информации из AD, которая может включать хэши доменных аккаунтов таких как KRBTGT (Key Distribution Center Service Account, использовалась в Windows 2000 для работы службы Key Distribution Center) и Administrator. Затем хэши могут быть использованы для создания Golden Ticket и проведения атаки Pass the Ticket или изменения пароля в рамках манипуляций с аккаунтами (Account Manipulation). Функциональность DСSync включена в модуль lsadump, входящий в состав Mimikatz. Lsadump также поддерживает NetSync для выполнения репликации по устаревшему протоколу.

:/>  Почему не работает айтюнс на компьютере

Linux
Файловая система Proc

Proc — это специальная файловая система в Unix-подобных ОС, которая представляет информацию о процессах и другую системную информацию в виде иерархической псевдофайловой структуры (файлы существуют не на диске, а в оперативной памяти), которая действует как интерфейс для взаимодействия с пространством ядра ОС. Процессы, запущенные с правами root, могут выполнять очистку памяти других запущенных программ. Если программа хранит в своей памяти пароли в открытом виде или в виде хэш, то эти значения могут быть извлечены из Proc для дальнейшего использования или попытки восстановления пароля из хэш. Gnome Keyring, sshd и Apache используют память для хранения таких аутентификационных «артефактов». Вышеописанная функциональность реализована в инструменте с открытым кодом — MimiPenguin, который выгружает память процесса и затем ищет пароли и хэши в текстовых строках и regex-шаблонах.

Рекомендации по защите:
Windows
Пытайтесь отслеживать доступ к LSASS и SAM, осуществляемый разрешенными в защищаемой системе инструментами. Ограничивайте права учетных записей в различных системах и сегментах сети, чтобы предотвратить возможность продвижения злоумышленника по защищаемой сети в случае получения паролей и хэшей. Убедитесь, что учетные данные локального администратора имеют сложные и уникальные пароли во всех системах и сегментах сети. Не помещайте учетные записи пользователей или администраторов домена в группы локальных администраторов в различных системах, т.к. это эквивалентно тому, что у всех администраторов есть один и тот же пароль. Следуйте рекомендациям Microsoft по разработке и администрированию корпоративной сети. В Windows 8.1 и Windows Server 2022 R2 включите защиту процесса LSA (Protected Process Light).

Распознайте любое вредоносное или потенциально опасное программное обеспечение, которое может быть использовано для получения дампов учетных данных.

Секреты LSA защищаются совершенно новой системой в Windows 10 под названием Credential Guard. При ее наличии процесс LSA взаимодействует с новым элементом – изолированным процессом – вместо того, чтобы хранить и защищать конфиденциальные данные в памяти. Передача данных из изолированного процесса на другие серверы операционной системы невозможна. LSA взаимодействует с изолированным процессом с помощью RPC, или удаленных вызовов процедур. Credential Guard имеет аппаратные требования и не настраивается по умолчанию. Однако он не обеспечивает полной защиты от всех видов сброса учетных данных.

Изменение доступа и других разрешений, связанных с репликацией контроллера домена, путем управления репликацией каталога. Подумайте о блокировании или ограничении трафика NTLM. Назначьте мониторинг процессов и аргументов командной строки, используемых для запуска программ, которые могут служить признаками дампа учетных данных. Сценарии PowerShell, такие как Invoke -Memaz или Mimikatz, могут присутствовать в некоторых инструментах удаленного доступа.

Проверьте журналы репликации для контроллеров домена на наличие неожиданных и запрошенных сообщений. Следите за трафиком, включающим запросы на репликацию, поступающие с внешних IP-адресов.

Linux
Для получения паролей и хэшей из памяти, процесс должен открыть в системе файл /proc/PID/maps, где PID — уникальный pid процесса. Инструмент мониторинга AuditD может использоваться для выявления враждебных процессов, открывающих этот файл и предупреждая о pid, имени процесса и других аргументах контролируемой программы.

Система:

Windows, Linux, macOS

Права:

Администратор, System root

Описание:

Файлы, содержащие пароли, могут быть найдены злоумышленниками как в локальных, так и в удаленных общих папках. Это может быть общее хранилище учетных данных группы людей или файлы, созданные пользователями для хранения собственных учетных данных.

Учетные данные паролей также можно получить с помощью инструментов дампа. В качестве альтернативы для хранения паролей можно использовать файлы параметров групповой политики (GPP), хранящиеся на контроллере домена.

Для обеспечения защиты применяйте организационные меры, запрещающие хранить пароли в файлах. Убедитесь, что системные администраторы и разработчики знают об опасности хранения паролей в открытом виде. Время от времени проверяйте наличие в системе файлов, содержащих пароли, и удаляйте их. Предоставляя разрешения только тем пользователям, которые вам необходимы, вы можете ограничить публичный доступ к файлам определенных каталогов. Файлы GP P со слабыми настройками групповой политики следует удалять.

Система:

Windows

Права:

Пользователь, администратор

Описание:

Злоумышленники имеют доступ к учетным данным и паролям, хранящимся в реестре Windows для использования приложениями или службами. Примеры команд поиска информации о пароле

reg query HKLM /f password /t REG_SZ /s
reg query HKCU /f password /t REG_SZ /s

Не храните информацию для входа в систему в реестрах. Для учетных данных следите за реестром. Чтобы предотвратить возможность неправомерного использования этих учетных данных, при необходимости хранения учетных данных программное обеспечение должно ограничивать их разрешения.

Система:

Windows, Linux, macOS

Права:

Пользователь

Описание:

Очередная ошибка разработчиков механизмов аутентификации и авторизации может привести к дефектам программного обеспечения, которые позволят злоумышленнику получить доступ к учетным данным без авторизации. Бюллетень EP можно получить по адресу:

MS14-068

Протокол Kerberos имеет недостаток, позволяющий злоумышленнику создавать поддельные билеты. Недостатки системы мандатов могут быть использованы для повышения привилегий.

Часто обновляйте программное обеспечение, чтобы получить рекомендации по защите программного обеспечения. Установите процесс обнаружения и анализа киберугроз, актуальных для вашей компании. Используя уязвимости, злоумышленнику будет сложнее продвигаться вперед благодаря “песочнице”, микросегментации и кибернетическим схемам. Операционная система Windows имеет уязвимости, которые в настоящее время активно эксплуатируются. Речь идет о WDEG и Enchanced Mitigation Experience Toolkit (EMET). Использование средств обеспечения целостности потока управления (CFI) – еще один способ остановить эксплуатацию уязвимостей. CFI – это общий термин для методов, используемых для ограничения количества возможных путей выполнения программы в рамках заданного графа потока управления. В некоторых случаях, если вредоносное ПО создано таким образом, чтобы обойти меры безопасности, защита может не сработать.

Система:

Windows

Права:

Брюгер

Описание:

Системы Windows часто взаимодействуют и аутентифицируются с помощью протокола Server Message Block (SMB). Windows автоматически пытается аутентифицировать пользователя и отправляет учетные данные текущего пользователя в удаленную систему при попытке подключения к удаленной системе по SMB. В случае сбоя сети HTTP или отказа инфраструктуры SMB код ADAV используется в качестве резервного протокола обмена ресурсами.

Злоумышленник может использовать действия защищенной системы во время ее подключения к удаленной системе и использовать принудительную SMB-аутентификацию для получения хэша учетных данных. Злоумышленник может использовать фишинг, чтобы отправить жертве ссылку на контролируемый веб-сайт или спрятать специальный файл в общедоступном месте. Пользовательская система попытается пройти аутентификацию и отправить хэш учетных данных текущего пользователя на удаленный сервер по протоколу SMB при доступе к недоверенному ресурсу. Злоумышленник может получить учетные данные в открытом виде или использовать их в атаке Pass-the-Ha, если учетные данные хэшированы в Hash.

Рассмотрим наиболее популярные способы вызова принудительной SMB-аутентификации:
• Фишинговое вложение, содержащее документ с активным содержимым, которое автоматически загружается при открытии документа. Документ может включать запрос типа file[:]//[remote address]/Normal.dotm/, который инициирует аутентификацию по SMB.

Система попытается загрузить значок файла и открыть ссылку в файле modified.lnk или другом варианте командного файла проводника Windows, в свойствах которого вместо пути к значку документа указана внешняя ссылка [remote address]picing.

Рекомендации по защите: Фильтруйте и блокируйте TCP, 445 или UDP порт 137, чтобы остановить исходящий SMB трафик. Трафик WebDAV, выходящий из сети компании, может быть отфильтрован и заблокирован. Ограничьте внешние соединения белыми списками, если необходим доступ к внешним ресурсам.

Система:

Windows

Права:

Администратор, система

Описание:

Библиотеки DLLA обычно являются местом хранения функций API Windows. Какой метод используется для перехвата вызовов функций API?

:/>  Как удалить обновление KB5000802, чтобы избавиться от проблемы с синим экраном в Windows 10 » MSReview

Встроенные процедуры, известные как “хуковые процедуры”, запускают код при вызове различных событий;

Компоненты адресной таблицы (IAT), хранящие указатели API. Следовательно, атакованное приложение может быть обманом вынуждено выполнить вредоносную функцию;

Прямая модификация функции (сплайсинг), при которой переход к вредоносной функции заменяется на первые пять битов исходной функции.

Подобно инъекциям, злоумышленники могут использовать hooking для исполнения вредоносного кода, маскировки его выполнения, доступа к памяти атакуемого процесса и повышения привилегий. Злоумышленники могут захватывать вызовы API, включающие параметры, содержащие аутентификационные данные.
Hooking обычно применяется руткитами для скрытия вредоносной активности в системе.

Совет по защите: Ограничение этой функциональности может негативно повлиять на стабильность работы легитимных приложений, поскольку перехват событий ОС является нормальной частью работы системы. Необходимо приложить усилия, чтобы остановить использование техники хукинга на ранних стадиях killchain. Мониторинг вызовов функций SetWindowsHookEx и Tin Event Hooke с помощью детекторов руткитов позволяет обнаружить вредоносную деятельность по перехвату событий.

Система:

Windows, Linux, macOS

Права:

Администратор, система

Описание:

С помощью инструментов блокировки злоумышленники могут получить данные пользователя и перехватить их.

Наиболее распространенный тип перехвата пользовательского ввода, включающий многочисленные техники перехвата нажатия клавиш, известен как кейлоггинг. Когда использование методов перехвата неэффективно и злоумышленник вынужден оставаться пассивным некоторое время, кейлоггинг является самым популярным методом кражи учетных данных.

Злоумышленник может установить коды на внешних корпоративных порталах, таких как система входа в VPN, для сбора учетных данных пользователей. Для этого необходим авторизованный административный доступ к порталу или сервису, который может быть настроен для предоставления резервного доступа на начальном этапе и этапе внедрения системы.

Используйте такие инструменты, как AppLocker или политики ограничения программного обеспечения для проверки потенциально опасных и вредоносных программ. Если хакерам удалось получить учетные данные, примите меры предосторожности, чтобы уменьшить ущерб от утечки информации.

Следуйте рекомендациям Microsoft по разработке и администрированию корпоративной сети (https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material#a-nameesaebmaesae-administrative-forest-design-approach).

Кейлогеры могут изменять реестр и устанавливать драйверы. Обычно используются API функции SetWindowsHook, GetKeyState, GetAsyncKeyState. Одни только вызовы API-функций не могут являться индикаторами кейлоггинга, но в совокупности с анализом изменений реестра, обнаружения установки драйверов и появлением новых файлов на диске могут свидетельствовать о вредоносной активности. Отслеживайте появление в реестре пользовательских поставщиков учетных данных (Custom Credential Provider):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionAuthenticationCredential Providers.

Система:

macOS

Права:

Брюгер

Описание:

Операционная система обычно запрашивает у пользователя необходимые учетные данные, прежде чем разрешить пользователю запускать программы, требующие повышения привилегий или предоставляющие пользователю дополнительные права. Эта функция может быть имитирована злоумышленниками для получения типичных запросов учетных данных. Выдать такой запрос учетных данных можно с помощью AppleScript:

Установите парольPassword на текст, показанный в диалоговом окне “AdobeUpdater требует разрешения на проверку обновлений”. Пройдите аутентификацию, если хотите. стандартный ответ “”)

Злоумышленник вызовет запрос учетных данных, имитируя типичные действия ОС.

Советы по безопасности: Проинформируйте пользователей о том, какие программы могут запрашивать разрешение. Настройте сценарии AppleScript на выполнение с включенной проверкой подписи доверенного разработчика.

Система:

Windows

Права:

Пользователь

Описание:

Принципиальные имена служб (SPN), которые используются для аутентификации Kerberos, являются отличительным идентификатором для каждого компонента службы. SPN записывается в свойствах записи программой установки службы и должен быть связан только с одной учетной записью.

Злоумышленники могут запросить у TEG один или несколько служебных билетов для связи с любым доменом на контроллере, если у него есть действительный билет Kerberos ticket-granting (TGS). Хеш пароля учетной записи целевой SSPN содержится в Kerberos 5 TGS-REP etype 23 и используется в качестве закрытого ключа, поскольку элементы служебного билета могут быть зашифрованы с помощью алгоритма RC4. Используя служебные билеты, полученные из сетевого трафика, можно осуществить эту атаку. После взлома полученного хэш-кода противник может использовать уже существующую учетную запись для получения доступа к системе или дальнейшего распространения по сети.

Для учетных записей служб используйте сложные и длинные пароли (в идеале 25 символов). Group Managed Service Accounts (gMSA), которая доступна в Windows Server 2022, автоматически обновляет пароли учетных записей служб. В качестве альтернативы используйте базы данных паролей от разных производителей.

Ограничивайте права учетных записей предоставляя минимальные требуемые привилегии, исключайте членство учетных записей в привилегированных группах типа Domain Admins.
По возможности включите шифрование AES Kerboros или другой более сильный алгоритм шифрования, исключив использование RC4.

Для записи запросов на сервисные билеты KERBO включите аудит операций с сервисными билетами Kerberos. Ищите странные шаблоны активности, например, Event ID 4769. Если они запрашивали, например, RC4, они могут быстро отправить несколько запросов.

Система:

macOS

Права:

root

Описание:

Keychain – это встроенная база данных, в которой хранится информация для входа и пароли для многочисленных служб, включая Kerberos, сертификаты и Wi-Fi. Файлы Keychain находятся в папке

~/Library/Keychains;
• /Library/Keychains;
• /Network/Linrary/Keychains/.

Встроенная по умолчанию в macOS консольная утилита Security предоставляет удобный способ управления учетными данными.
Для управления своими учетными данными пользователи должны использовать дополнительную учетную запись, предоставляющую доступ к их связке ключей. Если злоумышленник знает учетные данные от связки ключей пользователя, то он может получить доступ ко всем остальным учетным данным, хранящимся в keychains этого пользователя. По умолчанию, для входа в Keychains применяется текущая учетная запись пользователя для входа в систему.

Совет по защите: Обычной практикой является разблокирование брелоков пользователя и использование хранящихся там паролей, что не оставит без внимания средства обнаружения вредоносных программ.

Система:

Windows

Права:

Брюгер

Описание:

Все версии Windows включают протоколы идентификации хостов LLMNR и NetBIOS Name Service (NEBT-NS). Пользователи могут использовать другие сетевые имена без использования DNS благодаря LLMNR, который основан на DNS. Система в локальной сети распознается NBT-NS на основе ее NetBIOS.

Злоумышленник может подделать доверенный источник разрешения имен, который будет отвечать на трафик LLMNR (UDP5355)/NBT-NS(UDP137), чтобы жертва коммуницировала с контролируемой противником системой. Если запрашиваемый хост потребует идентификации/аутентификации, то имя пользователя и хеш NTLMv2 текущего пользователя хоста-жертвы будут отправлены в контролируемую противником систему. Таким образом, злоумышленник с помощью сетевого сниффера может собирать передаваемые хэши и затем в автономном режиме пытаться получить из них пароли с помощью средств перебора.
Существует несколько инструментов, которые могут использоваться для атак на службы имен в локальных сетях: NBNSpoof, Metasploit и Responder.

Рекомендации по защите: Рассмотрите возможно отключения LLMNR и NBT-NS в локальных настройках безопасности хоста или с помощью групповой политики. Используйте локальные средства безопасности, блокирующие LLMNR/NBT-NS-траффик.
Проверьте, что LLMNR отключен в реестре:
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTDNSClientEnableMulticast=dword:00000000.
Если LLMNR/NBT-NS отключены политикой безопасности, то мониторинг трафика портов UDP5355 и UDP137 поможет обнаружить атаку.

Система:

Windows, Linux, macOS

Описание:

Сетевой интерфейс в режиме promiscuos (также известном как режим “promiscuous”), в котором все пакеты принимаются независимо от того, кому они адресованы, может быть использован злоумышленником для захвата большого количества данных с помощью портов span (например, портов зеркалирования).

Учетные данные, отправленные по незащищенному каналу, могут быть обнаружены в сборнике данных программы сниффинга. Можно собрать информацию о входе в систему с веб-сайтов, прокси-серверов и внутренних систем, использующих сетевые службы имен.

Противник может обнаружить дополнительные сведения о конфигурации (запущенные службы, IP-адреса или имена хостов), необходимые для дальнейшего исследования сети, во время обнюхивания сети.

Рекомендации по защите: Убедитесь, что беспроводной трафик соответствующим образом зашифрован. По возможности, используйте Kerberos, SSL и многофакторную аутентификацию. Проводите мониторинг сетевых коммутаторов на предмет использования span-портов, отравления ARP/DNS и несанкционированных изменений конфигурации маршрутизатора.
Применяйте средства выявления и блокировки потенциально-опасного ПО, которое может быть использовано для перехвата и анализа сетевого трафика.

Система:

Windows

Права:

Администратор, System

Описание:

Использование политики паролей для доменных и локальных учетных записей с фильтрами паролей Windows. Методы фильтров для оценки потенциальных паролей на соответствие требованиям политики безопасности реализованы в виде DLL. Хосты для локальных учетных записей и контроллеров домена содержат фильтры паролей DLL.

Каждый зарегистрированный фильтр запрашивается службой LocalSecret Authorities для подтверждения пароля перед регистрацией новых паролей в Security Accounts Manager (SAM). Любые потенциальные изменения не будут реализованы.

В атакованной системе злоумышленник может создать вредоносные фильтры паролей для сбора учетных данных. Пароли отправляются открытым текстом из LSA в фильтры для проверки сложности. Когда пароль запрашивается, вредоносные фильтры получают учетные данные открытым текстом.

:/>  "Virtualapp / didlogical" веб-сайт создает общие учетных данных без моего разрешения. - как исправить?

Рекомендации по защите: Убедитесь, что в вашей системе зарегистрированы только валидные фильтры паролей. DLL фильтров по умолчанию хранятся в C:WindowsSystem32 и должны иметь соответствующую запись в реестре:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa[Notification Packages].
Вновь установленные фильтры паролей вступают в силу после перезагрузки системы, появляются в автозапуске и загружены в lsass.exe

Система:

Windows, Linux, macOS

Права:

Пользователь

Описание:

Для шифрования и дешифрования цифровой подписи используются закрытые ключи и сертификаты.

На взломанных системах злоумышленник может собрать секретные ключи, которые впоследствии можно использовать для расшифровки других собранных файлов или аутентификации в службах удаленного подключения, таких как SSH.

Противник может искать файлы в каталогах ключей, таких как?/.ssh или C:User (имя пользователя) во всех системах Windows).key, gpg и другие расширения имеют расширенные имена, такие как: “.”

При использовании закрытых ключей злоумышленник может одновременно запрашивать пароль или пароли и использовать методы перехвата ввода для кейлоггинга, пытаясь узнать ключевую фразу.

Используйте сложные пароли, чтобы затруднить взлом секретных ключей, согласно рекомендациям по безопасности. По возможности храните ключи на внешних криптографических носителях. Часто проверяйте списки доступа и убедитесь, что только авторизованным ключам разрешен доступ к жизненно важным ресурсам.

Проверьте разрешения папок, чтобы узнать, содержат ли они секретные ключи. Чтобы избежать конфликтов учетных записей и разрешений, создайте изолированную инфраструктуру для управления критическими системами. Следуйте советам по защите от используемых в настоящее время методов злоупотребления учетными записями.

Создайте систему мониторинга каталогов и файлов, содержащих криптографические ключи или сертификаты.

Система:

macOS

Права:

root

Описание:

В OS X до версии EL Capitan пользователи с правами root могут читать из Keychain пароли вошедших в систему пользователей в виде открытого текста. Это связано с тем, что для удобства пользователей Apple позволяет системе кэшировать учетные данные, чтобы не запрашивать у пользователей их повторный ввод при каждой необходимости.

Пароли шифруются в связке ключей с помощью набора ключей. Ключи затем шифруются с помощью дополнительных ключей, хранящихся в том же файле. Мастер-ключ, который расшифровывает следующий после открытия внешней матрешки. Для считывания первого пароля в цепочке пользователей требуется свой ключ. Процесс securityd управляет операциями с цепочкой ключей, используя мастер-ключ.

Используя имя злоумышленника в качестве корневого права, они могут искать в памяти каждый ключ шифрования связки ключей по отдельности.

Система:

Windows, Linux, macOS

Права:

Администратор, System root

Описание:

Организации должны знать о способах перехвата многофакторной аутентификации и ее алгоритмов (привязки логин/пароль), чтобы обеспечить безопасность.

Злоумышленники могут целенаправленно использовать такие механизмы аутентификации как смарт-карты, для получения доступа в систему, сервисам и сетевым ресурсам.
Если для двухфакторной аутентификации (2FA) используется смарт-карта, то для получения пароля, связанного со смарт-картой при обычном использовании потребуется кейлоггер. Как со вставленной смарт-картой так и с паролем доступа к смарт-карте противник может подключиться к сетевому ресурсу, используя зараженную систему для проксирования аутентификации с использованием вставленного аппаратного токена.

Кнопочный регистратор, такой как RSA SecurID, может стать объектом атаки злоумышленника. Противник может получить временный доступ на время действия выданного ему одноразового пароля, перехватив ввод маркера (включая персональный идентификационный код пользователя), а также определить значения будущих одноразовых паролей.

Противник может перехватить и использовать другие методы 2FA для несанкционированной аутентификации. В случае одноразового кода отправителю отправляется электронное письмо. Он может быть перехвачен, если устройство или услуга не защищены.

Извлекайте смарт-карты, когда они не используются, чтобы защитить их. Услуги и оборудование, использующие внеполосные коды, должны быть защищены. Распознавайте любое вредоносное или потенциально опасное программное обеспечение, которое может быть использовано для перехвата учетных данных 2FA.

Как настроить совместную папку на windows с паролем

В домашних сетях практичнее всего создавать общие папки с доступом без пароля. Однако вы можете настроить общий вход с паролем в корпоративных сетях или других местах, где не каждый пользователь должен иметь защищенный паролем доступ к общей папке.

По сути, это то же самое, что установить сетевую папку с паролем, как было описано в предыдущем разделе:

  1. Нет необходимости изменять параметр “Общий доступ под защитой пароля”: можно оставить значение по умолчанию, когда общий доступ без пароля запрещен.
  2. При совместном использовании сферы укажите в качестве владельца пользователя с паролем. Вы можете специально создать нового пользователя с паролем для использования в качестве владельца общей папки. В Windows 10 создание локальной учетной записи, как во время установки системы, так и после нее, стало настоящей проблемой. Если у вас возникли подобные проблемы, см. статьи :

Создание нового пользователя в Windows 11

Чтобы войти в приложение “Настройки”, нажмите Win i, затем выберите “Учетные записи”.

Использование ответчика - Русские Блоги

Перейдите в раздел Семья и другие пользователи на странице Учетные записи.

Использование ответчика - Русские Блоги

Затем нажмите кнопку «Добавить учетную запись».

Использование ответчика - Русские Блоги

В окне Microsoft Account вам будет предложено создать сетевую учетную запись компании. Не отвечайте на запрос о номере телефона или адресе электронной почты. Вместо этого выберите ссылку “У меня нет информации для входа в систему”, расположенную внизу.

Использование ответчика - Русские Блоги

Windows предложит вам настроить учетную запись Интернета. Проигнорируйте все, что здесь написано, и выберите внизу ссылку “Добавить пользователя без учетной записи Microsoft”.

Использование ответчика - Русские Блоги

Следующее окно вы привыкли видеть, если создавали новые учетные записи в Windows 7, 8 или 10. Необходимо ввести имя пользователя, пароль и подсказку к паролю.

Использование ответчика - Русские Блоги

После нажатия кнопки “Далее” вы вернетесь на предыдущий экран. Теперь вы должны увидеть новую учетную запись в списке!

Использование ответчика - Русские Блоги

Он настроит пользовательские папки и впервые войдет в систему под учетной записью Windows.

Учетная запись локального пользователя по умолчанию ограничена, поэтому она не может устанавливать программное обеспечение или вносить общесистемные изменения на компьютере. Вы можете выбрать “Изменить форму входа”, если у вас есть веская причина перейти на другой тип учетной записи.

Использование ответчика - Русские Блоги

Его нужно изменить с ограниченного на административный прямо сейчас.

Использование ответчика - Русские Блоги

Оставьте административную учетную запись в гораздо более безопасном ограниченном режиме, если она вам действительно не нужна.

Создание нового пользователя в Windows 10

Чтобы открыть приложение “Настройки” в Windows 10, нажмите Win i, затем нажмите OK.

Использование ответчика - Русские Блоги

Перейдите на вкладку Семья и другие пользователи в разделе Учетные записи, а затем нажмите OK:

Использование ответчика - Русские Блоги

В открывшемся окне Учетная запись Microsoft вы будете направлены на создание сетевой учетной записи Microsoft. Не обращайте внимания на запрос предоставить адрес электронной почты или номер телефона. Вместо этого нажмите внизу ссылку «У меня нет данных для входа этого человека».

Использование ответчика - Русские Блоги

Windows предложит вам настроить учетную запись Интернета. – Проигнорируйте все, что здесь написано, и выберите внизу ссылку “Добавить пользователя без учетной записи Microsoft”.

Использование ответчика - Русские Блоги

Следующий экран будет вам знаком, если вы ранее создавали новые учетные записи в Windows 7 и более ранних версиях. Необходимо ввести имя пользователя, пароль и подсказку к паролю.

Использование ответчика - Русские Блоги

После нажатия кнопки “Далее” вы вернетесь на предыдущий экран. Теперь на нем должен появиться список вашей новой учетной записи! Как только вы завершите настройку и войдете в систему в первый раз, Windows создаст папки пользователей.

Использование ответчика - Русские Блоги


Теперь нужно создать папку, владельцем которой будет только что созданный пользователь (ShareOverlord). Можно перезагрузить компьютер, выполнить вход под этим пользователем и создать папку, но я предполагаю, что возникнет несколько проблем:

  1. Этот пользователь имеет ограниченные права (я не повысил его учетную запись до административной), поэтому он, вероятно, не сможет создать папку в корне диска C:, и ему придется искать эту папку.
  2. Опять же, из-за ограниченных прав нового пользователя могут возникнуть трудности с открытием сетевого доступа для созданной папки. Другими словами, вам придется перезагрузиться под административной учетной записью, чтобы найти нужную папку в недрах пользовательских папок. И могут возникнуть проблемы с правами доступа к папке другого пользователя…

Под текущей учетной записью администратора я создам папку. чтобы пользователь, который войдет в эту папку, имел доступ к ее содержимому.

  1. Сделайте пользователя, созданного для этой цели, владельцем этой папки.
  2. Добавьте права доступа этого пользователя к папке.

Эти методы удивительно похожи на те, которые используются в Windows по умолчанию.

Оставьте комментарий

Adblock
detector