Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1003 , T1003.001 , T1003.002 , T1003.003 , T1003.004 , T1003.005 , T1003.006 , T1003.007 , T1003.008
Злоумышленники могут попытаться получить доступ к кэшированным учетным данным домена, используемым для аутентификации в случае недоступности контроллера домена.(Цитата: Microsoft - Cached Creds)
В Windows Vista и более новых версиях формат хэша - DCC2 (Domain Cached Credentials version 2), также известный как MS-Cache v2 hash.(Цитата: PassLib mscache) Количество кэшированных учетных данных по умолчанию варьируется и может быть изменено в зависимости от системы.Этот хэш не позволяет проводить атаки в стиле pass-the-hash, и вместо этого требуется Password Cracking для восстановления пароля в открытом тексте.(Цитата: ired mscache)
В системах Linux учетные данные Active Directory могут быть доступны через кэш, поддерживаемый такими программами, как System Security Services Daemon (SSSD) или Quest Authentication Services (ранее VAS). Кэшированные хэши учетных данных обычно располагаются по адресу `/var/lib/sss/db/cache.domain].ldb` для SSSD или `/var/opt/quest/vas/authcache/vas_auth.vdb` для Quest.Злоумышленники могут использовать утилиты, такие как `tdbdump`, в этих файлах баз данных для дампа кэшированных хэшей и использовать [Password Cracking для получения пароля в открытом тексте.(Цитата: Brining MimiKatz to Unix)
С доступом SYSTEM или sudo, инструменты/утилиты, такие как Mimikatz, Reg и secretsdump.py для Windows или Linikatz для Linux могут быть использованы для извлечения кэшированных учетных данных.(Цитата: Brining MimiKatz to Unix)
Примечание: кэшированные учетные данные для Windows Vista получены с помощью PBKDF2.(Цитата: PassLib mscache)
https://attack.mitre.org/techniques/T1003/005
Визуализация смежных техник для T1003.005
| № | Техника |
|---|
