Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1078 , T1078.001 , T1078.002 , T1078.003 , T1078.004
Злоумышленники могут получить учетные данные существующих учетных записей и злоупотреблять ими в качестве средства получения первоначального доступа, постоянного доступа, повышения привилегий или уклонения от защиты. Скомпрометированные учетные данные могут использоваться для обхода контроля доступа к различным ресурсам систем внутри сети и даже для постоянного доступа к удаленным системам и внешним службам, таким как VPN, Outlook Web Access, сетевые устройства и удаленный рабочий стол.(Цитата: volexity_0day_sophos_FW) Скомпрометированные учетные данные также могут предоставить Злоумышленнику повышенные привилегии для определенных систем или доступ к ограниченным областям сети. Злоумышленники могут не использовать вредоносное ПО или инструменты в сочетании с законным доступом, который предоставляют учетные данные, чтобы затруднить обнаружение их присутствия.
В некоторых случаях злоумышленники могут использовать неактивные учетные записи: например, принадлежащие лицам, которые больше не являются частью организации.Использование таких учетных записей может позволить Злоумышленнику избежать обнаружения, поскольку пользователь исходной учетной записи не будет присутствовать, чтобы определить любую аномальную активность, происходящую с его учетной записью.(Цит. по: CISA MFA PrintNightmare)
Наложение разрешений для локальных, доменных и облачных учетных записей в сети систем вызывает беспокойство, поскольку Злоумышленник может иметь возможность перемещаться между учетными записями и системами для достижения высокого уровня доступа (например, администратора домена или предприятия), чтобы обойти контроль доступа, установленный на предприятии.(Цит. по: TechNet Credential Theft)
https://attack.mitre.org/techniques/T1078
Визуализация смежных техник для T1078
| № | Техника |
|---|
