Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1110.001 - Подбор пароля

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1110 , T1110.001 , T1110.002 , T1110.003 , T1110.004

Злоумышленники, не имеющие предварительных сведений о законных учетных данных в системе или среде, могут угадывать пароли, чтобы попытаться получить доступ к учетным записям. Не зная пароля к учетной записи, Злоумышленник может выбрать систематическое угадывание пароля с помощью повторяющегося или итеративного механизма. Злоумышленник может угадать учетные данные без предварительного знания паролей системы или среды во время операции, используя список общих паролей. При угадывании паролей могут учитываться или не учитываться политики сложности паролей или политики использования, которые могут блокировать учетные записи после нескольких неудачных попыток.

Угадывание паролей может быть рискованным вариантом, поскольку оно может привести к многочисленным сбоям аутентификации и блокировке учетных записей, в зависимости от политики организации по сбоям входа в систему.(Цитата: Cylance Cleaver)

Обычно при угадывании паролей используются службы управления через широко используемые порты. К наиболее часто используемым сервисам относятся следующие:

* SSH (22/TCP)
* Telnet (23/TCP)
* FTP (21/TCP)
* NetBIOS / SMB / Samba (139/TCP & 445/TCP)
* LDAP (389/TCP)
* Kerberos (88/TCP)
* RDP / Terminal Services (3389/TCP)
* HTTP/HTTP Management Services (80/TCP &443/TCP)
* MSSQL (1433/TCP)
* Oracle (1521/TCP)
* MySQL (3306/TCP)
* VNC (5900/TCP)
* SNMP (161/UDP и 162/TCP/UDP)

В дополнение к службам управления злоумышленники могут "нацелиться на единый вход (SSO) и облачные приложения, использующие протоколы федеративной аутентификации", а также на внешние почтовые приложения, такие как Office 365.(Цитата: US-CERT TA18-068A 2018).Кроме того, злоумышленники могут использовать интерфейсы сетевых устройств (например, `wlanAPI`) для взлома доступных wifi-роутеров с помощью протоколов беспроводной аутентификации.(Цитата: Trend Micro Emotet 2020)

В стандартных средах попытки подключения LDAP и Kerberos реже вызывают события по SMB, что создает событие Windows "сбой входа в систему" с идентификатором 4625.

https://attack.mitre.org/techniques/T1110/001

← Назад

Визуализация смежных техник для T1110.001

Отрасль:
 с подтехниками
Техника

Закрыть