logo Хроники кибер-безопасника

TTP. Руководство Кибермага

📌Доступ ‎к‏ ‎учётным ‎данным ‎/ ‎подбор ‎пароля‏ ‎T1110: ‎используются‏ ‎password-spray‏ ‎и ‎подбор ‎паролей‏ ‎в ‎качестве‏ ‎начальных ‎векторов ‎заражения. ‎Подход‏ ‎предполагает‏ ‎попытку ‎ввода‏ ‎нескольких ‎паролей‏ ‎для ‎разных ‎учётных ‎записей ‎или‏ ‎многочисленные‏ ‎попытки ‎для‏ ‎одной ‎учётной‏ ‎записи ‎для ‎получения ‎несанкционированного ‎доступа.

📌Первоначальный‏ ‎доступ‏ ‎/‏ ‎T1078.004 ‎Действительные‏ ‎учётные ‎записи:‏ ‎Облачные ‎учётные‏ ‎записи:‏ ‎получение ‎доступа‏ ‎к ‎облачным ‎сервисам, ‎используя ‎скомпрометированные‏ ‎учётные ‎данные:‏ ‎как‏ ‎системные ‎учётные ‎записи‏ ‎(используемые ‎для‏ ‎автоматизированных ‎задач ‎и ‎служб),‏ ‎так‏ ‎и ‎неактивные‏ ‎учётные ‎записи,‏ ‎учётные ‎которые ‎все ‎ещё ‎остаются‏ ‎в‏ ‎системе.

📌Доступ ‎к‏ ‎учётным ‎данным‏ ‎/ ‎T1528 ‎Кража ‎токена ‎доступа‏ ‎к‏ ‎приложению:‏ ‎злоумышленники ‎используют‏ ‎украденные ‎токены‏ ‎доступа ‎для‏ ‎входа‏ ‎в ‎учётные‏ ‎записи ‎без ‎необходимости ‎ввода ‎паролей.‏ ‎Токены ‎доступа‏ ‎—‏ ‎это ‎цифровые ‎ключи,‏ ‎которые ‎позволяют‏ ‎получить ‎доступ ‎к ‎учётным‏ ‎записям‏ ‎пользователей. ‎Их‏ ‎получение ‎позволяет‏ ‎обойти ‎традиционные ‎механизмы ‎входа ‎в‏ ‎систему.

📌Доступ‏ ‎к ‎учётным‏ ‎данным ‎/‏ ‎Формирование ‎запроса ‎многофакторной ‎аутентификации ‎T1621:‏ ‎метод‏ ‎«бомбардировка‏ ‎MFA» ‎предполагает,‏ ‎что ‎злоумышленники‏ ‎неоднократно ‎отправляют‏ ‎запросы‏ ‎MFA ‎на‏ ‎устройство ‎жертвы. ‎Цель ‎состоит ‎в‏ ‎том, ‎чтобы‏ ‎жертва‏ ‎приняла ‎запрос ‎и‏ ‎таким ‎образом‏ ‎предоставила ‎злоумышленнику ‎доступ.

📌Командование ‎и‏ ‎контроль‏ ‎/ ‎T1090.002‏ ‎Прокси: ‎Внешний‏ ‎прокси: ‎чтобы ‎поддерживать ‎«тайные ‎операции‏ ‎и‏ ‎сливаться ‎с‏ ‎обычным ‎трафиком»,‏ ‎используются ‎открытые ‎прокси, ‎расположенные ‎в‏ ‎частных‏ ‎диапазонах‏ ‎IP-адресов, ‎т.‏ ‎к. ‎вредоносные‏ ‎соединения ‎сложнее‏ ‎отличить‏ ‎от ‎легальной‏ ‎активности ‎пользователей ‎в ‎журналах ‎доступа.

📌Успешная‏ ‎регистрация ‎устройства‏ ‎может‏ ‎обеспечить ‎постоянный ‎доступ‏ ‎к ‎облачной‏ ‎среде.

Доступ ‎через ‎сервисные ‎и‏ ‎спящие‏ ‎учётные ‎записи

Одна‏ ‎из ‎ключевых‏ ‎стратегий, ‎применяемых ‎злоумышленниками, ‎предполагает ‎нацеливание‏ ‎на‏ ‎сервисные ‎и‏ ‎неактивные ‎учётные‏ ‎записи ‎в ‎облачных ‎средах. ‎Учётные‏ ‎записи‏ ‎служб‏ ‎используются ‎для‏ ‎запуска ‎приложений‏ ‎и ‎служб‏ ‎и‏ ‎управления ‎ими‏ ‎без ‎прямого ‎взаимодействия ‎с ‎человеком.‏ ‎Эти ‎учётные‏ ‎записи‏ ‎особенно ‎уязвимы, ‎поскольку‏ ‎их ‎часто‏ ‎невозможно ‎защитить ‎с ‎помощью‏ ‎многофакторной‏ ‎аутентификации ‎(MFA),‏ ‎и ‎они‏ ‎могут ‎иметь ‎высокопривилегированный ‎доступ ‎в‏ ‎зависимости‏ ‎от ‎их‏ ‎роли ‎в‏ ‎управлении ‎приложениями ‎и ‎службами. ‎Получив‏ ‎доступ‏ ‎к‏ ‎этим ‎учётным‏ ‎записям, ‎злоумышленники‏ ‎могут ‎получить‏ ‎привилегированный‏ ‎первоначальный ‎доступ‏ ‎к ‎сети, ‎которую ‎они ‎используют‏ ‎в ‎качестве‏ ‎стартовой‏ ‎площадки ‎для ‎дальнейших‏ ‎операций.

Кампании ‎нацелены‏ ‎на ‎неактивные ‎учётные ‎записи,‏ ‎пользователи‏ ‎которых ‎больше‏ ‎не ‎активны‏ ‎в ‎организации-жертве, ‎но ‎не ‎были‏ ‎удалены‏ ‎из ‎системы.‏ ‎Эти ‎учётные‏ ‎записи ‎могут ‎быть ‎использованы ‎для‏ ‎восстановления‏ ‎доступа‏ ‎к ‎сети,‏ ‎особенно ‎после‏ ‎мер ‎реагирования‏ ‎на‏ ‎инциденты, ‎таких‏ ‎как ‎принудительный ‎сброс ‎пароля. ‎Было‏ ‎замечено, ‎что‏ ‎субъекты‏ ‎входили ‎в ‎эти‏ ‎неактивные ‎учётные‏ ‎записи ‎и ‎следовали ‎инструкциям‏ ‎по‏ ‎сбросу ‎пароля,‏ ‎что ‎позволяло‏ ‎им ‎сохранять ‎доступ ‎даже ‎после‏ ‎того,‏ ‎как ‎группы‏ ‎реагирования ‎на‏ ‎инциденты ‎пытались ‎их ‎«выселить».

Аутентификация ‎токена‏ ‎на‏ ‎основе‏ ‎облака

Ещё ‎один‏ ‎TTP ‎—‏ ‎это ‎использование‏ ‎аутентификации‏ ‎на ‎основе‏ ‎облачных ‎токенов. ‎Замечено, ‎что ‎злоумышленники‏ ‎использовали ‎выданные‏ ‎системой‏ ‎токены ‎доступа ‎для‏ ‎аутентификации ‎в‏ ‎учётных ‎записях ‎жертв ‎без‏ ‎необходимости‏ ‎ввода ‎пароля.‏ ‎Этот ‎метод‏ ‎позволяет ‎обходить ‎традиционные ‎методы ‎аутентификации‏ ‎на‏ ‎основе ‎учётных‏ ‎данных ‎и‏ ‎может ‎быть ‎особенно ‎эффективным, ‎если‏ ‎срок‏ ‎действия‏ ‎этих ‎токенов‏ ‎длительный, ‎или‏ ‎если ‎токены‏ ‎не‏ ‎защищены ‎должным‏ ‎образом.

Брутфорс ‎и ‎password-spray

Использование ‎злоумышленниками ‎атаки‏ ‎(T1110) ‎применяется‏ ‎в‏ ‎качестве ‎начальных ‎векторов‏ ‎заражения. ‎Метод‏ ‎включают ‎попытку ‎доступа ‎к‏ ‎учётным‏ ‎записям ‎путём‏ ‎перебора ‎множества‏ ‎паролей ‎или ‎использования ‎общих ‎паролей‏ ‎для‏ ‎многих ‎учётных‏ ‎записей ‎соответственно.‏ ‎Метод ‎часто ‎бывает ‎успешен ‎из-за‏ ‎использования‏ ‎слабых‏ ‎или ‎повторно‏ ‎используемых ‎паролей‏ ‎для ‎разных‏ ‎учётных‏ ‎записей.

Роль ‎токенов‏ ‎доступа

Токены ‎доступа ‎являются ‎неотъемлемой ‎частью‏ ‎современных ‎систем‏ ‎аутентификации,‏ ‎особенно ‎в ‎облачных‏ ‎средах. ‎Они‏ ‎предназначены ‎для ‎упрощения ‎процесса‏ ‎входа‏ ‎в ‎систему‏ ‎для ‎пользователей‏ ‎и ‎обеспечения ‎безопасного ‎метода ‎доступа‏ ‎к‏ ‎ресурсам ‎без‏ ‎повторного ‎ввода‏ ‎учётных ‎данных. ‎Токены ‎выдаются ‎после‏ ‎того,‏ ‎как‏ ‎пользователь ‎входит‏ ‎в ‎систему‏ ‎с ‎именем‏ ‎и‏ ‎паролем, ‎и‏ ‎их ‎можно ‎использовать ‎для ‎последующих‏ ‎запросов ‎аутентификации.

Риски,‏ ‎связанные‏ ‎с ‎аутентификацией ‎токенов

Хотя‏ ‎аутентификация ‎на‏ ‎основе ‎токенов ‎может ‎обеспечить‏ ‎удобство‏ ‎и ‎безопасность,‏ ‎она ‎также‏ ‎создаёт ‎определённые ‎риски, ‎если ‎ею‏ ‎не‏ ‎управлять ‎должным‏ ‎образом. ‎Если‏ ‎злоумышленники ‎получат ‎эти ‎токены, ‎они‏ ‎смогут‏ ‎получить‏ ‎доступ ‎к‏ ‎учётным ‎записям‏ ‎без ‎необходимости‏ ‎знания‏ ‎пароли, ‎особенно‏ ‎если ‎токены ‎имеют ‎длительный ‎срок‏ ‎действия.

Настройка ‎срока‏ ‎действия‏ ‎токена

Отмечается, ‎что ‎время‏ ‎действия ‎токенов,‏ ‎выпущенных ‎системой, ‎по ‎умолчанию‏ ‎может‏ ‎варьироваться ‎в‏ ‎зависимости ‎от‏ ‎используемой ‎системы. ‎Однако ‎для ‎облачных‏ ‎платформ‏ ‎крайне ‎важно‏ ‎предоставить ‎администраторам‏ ‎возможность ‎регулировать ‎время ‎действия ‎этих‏ ‎токенов‏ ‎в‏ ‎соответствии ‎с‏ ‎их ‎потребностями‏ ‎в ‎безопасности.‏ ‎Сокращение‏ ‎срока ‎действия‏ ‎токенов ‎может ‎уменьшить ‎окно ‎возможностей‏ ‎для ‎несанкционированного‏ ‎доступа,‏ ‎если ‎токены ‎будут‏ ‎скомпрометированы.

Обход ‎аутентификации‏ ‎по ‎паролю ‎и ‎MFA

Отмечается,‏ ‎что‏ ‎обход ‎аутентификации‏ ‎по ‎паролю‏ ‎в ‎учётных ‎записях ‎с ‎помощью‏ ‎повторного‏ ‎использования ‎учётных‏ ‎данных ‎и‏ ‎password-spray. ‎Метод ‎предполагает ‎попытку ‎получить‏ ‎доступ‏ ‎к‏ ‎большому ‎количеству‏ ‎учётных ‎записей‏ ‎с ‎использованием‏ ‎часто‏ ‎используемых ‎паролей,‏ ‎в ‎то ‎время ‎как ‎повторное‏ ‎использование ‎учётных‏ ‎данных‏ ‎позволяет ‎пользователям ‎повторно‏ ‎использовать ‎одни‏ ‎и ‎те ‎же ‎пароли‏ ‎для‏ ‎нескольких ‎учётных‏ ‎записей

Также ‎применяется‏ ‎техника ‎«бомбардировка ‎MFA» ‎(T1621), ‎для‏ ‎обхода‏ ‎систем ‎MFA.‏ ‎Метод ‎предполагает‏ ‎повторную ‎отправку ‎запросов ‎MFA ‎на‏ ‎устройство‏ ‎жертвы‏ ‎до ‎тех‏ ‎пор, ‎пока‏ ‎жертва, ‎перегруженная‏ ‎постоянными‏ ‎уведомлениями, ‎не‏ ‎примет ‎запрос. ‎Метод ‎эффективно ‎использует‏ ‎человеческую ‎психологию‏ ‎и‏ ‎неудобство ‎повторных ‎уведомлений‏ ‎для ‎обхода‏ ‎надёжных ‎мер ‎безопасности.

Регистрация ‎новых‏ ‎устройств‏ ‎в ‎облаке

После‏ ‎преодоления ‎первоначальных‏ ‎барьеров ‎выполняется ‎регистрация ‎собственных ‎устройств‏ ‎в‏ ‎качестве ‎новых‏ ‎(T1098.005). ‎Этот‏ ‎шаг ‎имеет ‎решающее ‎значение ‎для‏ ‎сохранения‏ ‎доступа‏ ‎к ‎облачной‏ ‎среде ‎и‏ ‎облегчения ‎дальнейших‏ ‎вредоносных‏ ‎действий. ‎Успех‏ ‎тактики ‎зависит ‎от ‎отсутствия ‎строгих‏ ‎правил ‎проверки‏ ‎устройств‏ ‎в ‎конфигурации ‎безопасности‏ ‎арендатора ‎облака.‏ ‎Без ‎надлежащих ‎мер ‎проверки‏ ‎устройств‏ ‎крайне ‎легко‏ ‎добавить ‎неавторизованные‏ ‎устройства ‎в ‎сеть, ‎предоставив ‎им‏ ‎доступ‏ ‎к ‎конфиденциальным‏ ‎данным ‎и‏ ‎системам.

Защита ‎от ‎несанкционированной ‎регистрации ‎устройств

Внедряя‏ ‎строгие‏ ‎правила‏ ‎проверки ‎устройств‏ ‎и ‎политики‏ ‎регистрации, ‎организации‏ ‎могут‏ ‎значительно ‎снизить‏ ‎риск ‎несанкционированной ‎регистрации ‎устройств. ‎Известны‏ ‎случаи, ‎когда‏ ‎эти‏ ‎меры ‎были ‎эффективно‏ ‎применены, ‎успешно‏ ‎защитили ‎от ‎злоумышленников, ‎лишив‏ ‎их‏ ‎доступа ‎к‏ ‎арендатору ‎облака.

Резидентные‏ ‎прокси ‎и ‎их ‎использование

Резидентные ‎прокси‏ ‎—‏ ‎это ‎промежуточные‏ ‎службы, ‎которые‏ ‎позволяют ‎пользователям ‎маршрутизировать ‎трафик ‎через‏ ‎IP-адрес,‏ ‎предоставленный‏ ‎интернет-провайдером ‎(ISP),‏ ‎который ‎обычно‏ ‎присваивается ‎резидентному‏ ‎адресу.‏ ‎Из-за ‎этого‏ ‎трафик ‎выглядит ‎так, ‎как ‎будто‏ ‎он ‎исходит‏ ‎от‏ ‎обычного ‎пользователя, ‎что‏ ‎может ‎быть‏ ‎особенно ‎полезно ‎для ‎целей‏ ‎слиться‏ ‎с ‎обычным‏ ‎трафиком ‎и‏ ‎избежать ‎раскрытия.

Использование ‎резидентных ‎прокси-серверов ‎служит‏ ‎целью‏ ‎сокрытия ‎истинного‏ ‎местонахождения ‎и‏ ‎источника ‎их ‎вредоносной ‎деятельности. ‎Создавая‏ ‎впечатление,‏ ‎что‏ ‎их ‎трафик‏ ‎исходит ‎из‏ ‎диапазонов ‎легитмных‏ ‎провайдеров.‏ ‎Тактика ‎усложняет‏ ‎обеспечение ‎безопасности, ‎которые ‎полагаются ‎на‏ ‎репутацию ‎IP-адреса‏ ‎или‏ ‎геолокацию ‎как ‎на‏ ‎индикаторы ‎компрометации.

Проблемы,‏ ‎создаваемые ‎резидентными ‎прокси

Эффективность ‎резидентных‏ ‎прокси-серверов‏ ‎в ‎сокрытии‏ ‎источника ‎трафика‏ ‎представляет ‎собой ‎проблему ‎для ‎сетевой‏ ‎защиты.‏ ‎Традиционные ‎меры‏ ‎безопасности, ‎которые‏ ‎отслеживают ‎и ‎блокируют ‎известные ‎вредоносные‏ ‎IP-адреса,‏ ‎неэффективны‏ ‎против ‎использующих‏ ‎резидентные ‎прокси-серверы,‏ ‎поскольку ‎эти‏ ‎IP-адреса‏ ‎могут ‎не‏ ‎иметь ‎предыстории ‎вредоносной ‎активности ‎и‏ ‎неотличимы ‎от‏ ‎IP-адресов‏ ‎законных ‎пользователей.

Предыдущий Следующий
Все посты проекта

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048