Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1110 , T1110.001 , T1110.002 , T1110.003 , T1110.004
Злоумышленники могут использовать один или небольшой список часто используемых паролей против многих различных учетных записей, чтобы попытаться получить действительные учетные данные. При распылении паролей используется один пароль (например, 'Password01') или небольшой список часто используемых паролей, которые могут соответствовать политике сложности домена. С этим паролем пытаются войти во многие различные учетные записи в сети, чтобы избежать блокировки учетных записей, которая обычно происходит при переборе одной учетной записи с большим количеством паролей.(Цит. по: BlackHillsInfosec Password Spraying)
Обычно при распылении паролей используются службы управления через широко используемые порты. К наиболее часто используемым сервисам относятся следующие:
* SSH (22/TCP)
* Telnet (23/TCP)
* FTP (21/TCP)
* NetBIOS / SMB / Samba (139/TCP & 445/TCP)
* LDAP (389/TCP)
* Kerberos (88/TCP)
* RDP / Terminal Services (3389/TCP)
* HTTP/HTTP Management Services (80/TCP &443/TCP)
* MSSQL (1433/TCP)
* Oracle (1521/TCP)
* MySQL (3306/TCP)
* VNC (5900/TCP)
Помимо служб управления, злоумышленники могут "нацелиться на единый вход (SSO) и облачные приложения, использующие протоколы федеративной аутентификации", а также на внешние почтовые приложения, такие как Office 365.(Цитата: US-CERT TA18-068A 2018)
В стандартных средах попытки подключения LDAP и Kerberos с меньшей вероятностью вызывают события по SMB, что создает событие Windows "сбой входа в систему" с идентификатором 4625.
https://attack.mitre.org/techniques/T1110/003
Визуализация смежных техник для T1110.003
| № | Техника |
|---|
