Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1111 - Перехват многофакторной аутентификации

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1111

Злоумышленники могут использовать механизмы многофакторной аутентификации (MFA) (т. е. смарт-карты, генераторы токенов и т. д.) для получения доступа к учетным данным, которые могут использоваться для доступа к системам, службам и сетевым ресурсам. Использование MFA рекомендуется и обеспечивает более высокий уровень безопасности, чем использование только имен пользователей и паролей, но организации должны знать о методах, которые могут быть использованы для перехвата и обхода этих механизмов безопасности.

Если для многофакторной аутентификации используется смарт-карта, то для получения пароля, связанного со смарт-картой при обычном использовании, необходимо использовать кейлоггер. Имея вставленную карту и доступ к паролю смарт-карты, Злоумышленник может подключиться к сетевому ресурсу с помощью зараженной системы, чтобы проксировать аутентификацию с помощью вставленного аппаратного маркера.(Цитата: Mandiant M Trends 2011)

Злоумышленники могут также использовать кейлоггер для аналогичной атаки на другие аппаратные токены, такие как RSA SecurID. Захват ввода токена (включая персональный идентификационный код пользователя) может обеспечить временный доступ (т. е. воспроизведение одноразового пароля до следующего переноса значения), а также, возможно, позволит злоумышленникам надежно предсказывать будущие значения аутентификации (при наличии доступа к алгоритму и любым начальным значениям, используемым для генерации добавленных временных кодов).(Цит. по: GCN RSA June 2011)

Другие методы MFA могут быть перехвачены и использованы Злоумышленником для аутентификации. Как правило, одноразовые коды отправляются по внесетевым каналам связи (электронная почта, SMS). Если устройство и/или служба не защищены, то они могут быть уязвимы для перехвата.Поставщики услуг также могут стать мишенью: например, злоумышленник может скомпрометировать службу обмена SMS-сообщениями, чтобы украсть коды MFA, отправленные на телефоны пользователей.(Цитата: Okta Scatter Swine 2022)

https://attack.mitre.org/techniques/T1111

← Назад

Визуализация смежных техник для T1111

Отрасль:
 с подтехниками
Техника

Закрыть