Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1110 , T1110.001 , T1110.002 , T1110.003 , T1110.004
Злоумышленники могут использовать учетные данные, полученные из дампов не связанных с ними учетных записей, для получения доступа к целевым учетным записям путем наложения учетных данных. Иногда при взломе веб-сайта или сервиса и получении доступа к учетным данным пользователя в сеть попадает большое количество пар имен пользователей и паролей. Эта информация может оказаться полезной для злоумышленников, пытающихся взломать учетные записи, воспользовавшись тенденцией пользователей использовать одни и те же пароли для личных и рабочих аккаунтов.
Набивка учетных данных - рискованный вариант, поскольку может привести к многочисленным сбоям аутентификации и блокировке учетных записей, в зависимости от политики организации в отношении сбоев входа в систему.
Как правило, для подстановки учетных данных используются службы управления через широко используемые порты. Обычно используются следующие службы:
* SSH (22/TCP)
* Telnet (23/TCP)
* FTP (21/TCP)
* NetBIOS / SMB / Samba (139/TCP & 445/TCP)
* LDAP (389/TCP)
* Kerberos (88/TCP)
* RDP / Terminal Services (3389/TCP)
* HTTP/HTTP Management Services (80/TCP &443/TCP)
* MSSQL (1433/TCP)
* Oracle (1521/TCP)
* MySQL (3306/TCP)
* VNC (5900/TCP)
Помимо служб управления, злоумышленники могут "нацелиться на единый вход (SSO) и облачные приложения, использующие протоколы федеративной аутентификации", а также на внешние почтовые приложения, такие как Office 365.(Цитата: US-CERT TA18-068A 2018)
https://attack.mitre.org/techniques/T1110/004
Визуализация смежных техник для T1110.004
| № | Техника |
|---|
