TTP. Руководство Кибермага
📌Доступ к учётным данным / подбор пароля T1110: используются password-spray и подбор паролей в качестве начальных векторов заражения. Подход предполагает попытку ввода нескольких паролей для разных учётных записей или многочисленные попытки для одной учётной записи для получения несанкционированного доступа.
📌Первоначальный доступ / T1078.004 Действительные учётные записи: Облачные учётные записи: получение доступа к облачным сервисам, используя скомпрометированные учётные данные: как системные учётные записи (используемые для автоматизированных задач и служб), так и неактивные учётные записи, учётные которые все ещё остаются в системе.
📌Доступ к учётным данным / T1528 Кража токена доступа к приложению: злоумышленники используют украденные токены доступа для входа в учётные записи без необходимости ввода паролей. Токены доступа — это цифровые ключи, которые позволяют получить доступ к учётным записям пользователей. Их получение позволяет обойти традиционные механизмы входа в систему.
📌Доступ к учётным данным / Формирование запроса многофакторной аутентификации T1621: метод «бомбардировка MFA» предполагает, что злоумышленники неоднократно отправляют запросы MFA на устройство жертвы. Цель состоит в том, чтобы жертва приняла запрос и таким образом предоставила злоумышленнику доступ.
📌Командование и контроль / T1090.002 Прокси: Внешний прокси: чтобы поддерживать «тайные операции и сливаться с обычным трафиком», используются открытые прокси, расположенные в частных диапазонах IP-адресов, т. к. вредоносные соединения сложнее отличить от легальной активности пользователей в журналах доступа.
📌Успешная регистрация устройства может обеспечить постоянный доступ к облачной среде.
Доступ через сервисные и спящие учётные записи
Одна из ключевых стратегий, применяемых злоумышленниками, предполагает нацеливание на сервисные и неактивные учётные записи в облачных средах. Учётные записи служб используются для запуска приложений и служб и управления ими без прямого взаимодействия с человеком. Эти учётные записи особенно уязвимы, поскольку их часто невозможно защитить с помощью многофакторной аутентификации (MFA), и они могут иметь высокопривилегированный доступ в зависимости от их роли в управлении приложениями и службами. Получив доступ к этим учётным записям, злоумышленники могут получить привилегированный первоначальный доступ к сети, которую они используют в качестве стартовой площадки для дальнейших операций.
Кампании нацелены на неактивные учётные записи, пользователи которых больше не активны в организации-жертве, но не были удалены из системы. Эти учётные записи могут быть использованы для восстановления доступа к сети, особенно после мер реагирования на инциденты, таких как принудительный сброс пароля. Было замечено, что субъекты входили в эти неактивные учётные записи и следовали инструкциям по сбросу пароля, что позволяло им сохранять доступ даже после того, как группы реагирования на инциденты пытались их «выселить».
Аутентификация токена на основе облака
Ещё один TTP — это использование аутентификации на основе облачных токенов. Замечено, что злоумышленники использовали выданные системой токены доступа для аутентификации в учётных записях жертв без необходимости ввода пароля. Этот метод позволяет обходить традиционные методы аутентификации на основе учётных данных и может быть особенно эффективным, если срок действия этих токенов длительный, или если токены не защищены должным образом.
Брутфорс и password-spray
Использование злоумышленниками атаки (T1110) применяется в качестве начальных векторов заражения. Метод включают попытку доступа к учётным записям путём перебора множества паролей или использования общих паролей для многих учётных записей соответственно. Метод часто бывает успешен из-за использования слабых или повторно используемых паролей для разных учётных записей.
Роль токенов доступа
Токены доступа являются неотъемлемой частью современных систем аутентификации, особенно в облачных средах. Они предназначены для упрощения процесса входа в систему для пользователей и обеспечения безопасного метода доступа к ресурсам без повторного ввода учётных данных. Токены выдаются после того, как пользователь входит в систему с именем и паролем, и их можно использовать для последующих запросов аутентификации.
Риски, связанные с аутентификацией токенов
Хотя аутентификация на основе токенов может обеспечить удобство и безопасность, она также создаёт определённые риски, если ею не управлять должным образом. Если злоумышленники получат эти токены, они смогут получить доступ к учётным записям без необходимости знания пароли, особенно если токены имеют длительный срок действия.
Настройка срока действия токена
Отмечается, что время действия токенов, выпущенных системой, по умолчанию может варьироваться в зависимости от используемой системы. Однако для облачных платформ крайне важно предоставить администраторам возможность регулировать время действия этих токенов в соответствии с их потребностями в безопасности. Сокращение срока действия токенов может уменьшить окно возможностей для несанкционированного доступа, если токены будут скомпрометированы.
Обход аутентификации по паролю и MFA
Отмечается, что обход аутентификации по паролю в учётных записях с помощью повторного использования учётных данных и password-spray. Метод предполагает попытку получить доступ к большому количеству учётных записей с использованием часто используемых паролей, в то время как повторное использование учётных данных позволяет пользователям повторно использовать одни и те же пароли для нескольких учётных записей
Также применяется техника «бомбардировка MFA» (T1621), для обхода систем MFA. Метод предполагает повторную отправку запросов MFA на устройство жертвы до тех пор, пока жертва, перегруженная постоянными уведомлениями, не примет запрос. Метод эффективно использует человеческую психологию и неудобство повторных уведомлений для обхода надёжных мер безопасности.
Регистрация новых устройств в облаке
После преодоления первоначальных барьеров выполняется регистрация собственных устройств в качестве новых (T1098.005). Этот шаг имеет решающее значение для сохранения доступа к облачной среде и облегчения дальнейших вредоносных действий. Успех тактики зависит от отсутствия строгих правил проверки устройств в конфигурации безопасности арендатора облака. Без надлежащих мер проверки устройств крайне легко добавить неавторизованные устройства в сеть, предоставив им доступ к конфиденциальным данным и системам.
Защита от несанкционированной регистрации устройств
Внедряя строгие правила проверки устройств и политики регистрации, организации могут значительно снизить риск несанкционированной регистрации устройств. Известны случаи, когда эти меры были эффективно применены, успешно защитили от злоумышленников, лишив их доступа к арендатору облака.
Резидентные прокси и их использование
Резидентные прокси — это промежуточные службы, которые позволяют пользователям маршрутизировать трафик через IP-адрес, предоставленный интернет-провайдером (ISP), который обычно присваивается резидентному адресу. Из-за этого трафик выглядит так, как будто он исходит от обычного пользователя, что может быть особенно полезно для целей слиться с обычным трафиком и избежать раскрытия.
Использование резидентных прокси-серверов служит целью сокрытия истинного местонахождения и источника их вредоносной деятельности. Создавая впечатление, что их трафик исходит из диапазонов легитмных провайдеров. Тактика усложняет обеспечение безопасности, которые полагаются на репутацию IP-адреса или геолокацию как на индикаторы компрометации.
Проблемы, создаваемые резидентными прокси
Эффективность резидентных прокси-серверов в сокрытии источника трафика представляет собой проблему для сетевой защиты. Традиционные меры безопасности, которые отслеживают и блокируют известные вредоносные IP-адреса, неэффективны против использующих резидентные прокси-серверы, поскольку эти IP-адреса могут не иметь предыстории вредоносной активности и неотличимы от IP-адресов законных пользователей.