Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1187 - Принудительная аутентификация

Техники:  T1187

Злоумышленники могут собирать учетные данные, вызывая или заставляя пользователя автоматически предоставлять информацию об аутентификации через механизм, который они могут перехватить.

Протокол Server Message Block (SMB) широко используется в сетях Windows для аутентификации и связи между системами для доступа к ресурсам и совместного использования файлов. Когда система Windows пытается подключиться к ресурсу SMB, она автоматически пытается пройти аутентификацию и отправить информацию о текущем пользователе удаленной системе. (Цитата: Wikipedia Server Message Block) Такое поведение типично для корпоративных сред, чтобы пользователям не нужно было вводить учетные данные для доступа к сетевым ресурсам.

Web Distributed Authoring and Versioning (WebDAV) также обычно используется в системах Windows в качестве резервного протокола, когда SMB заблокирован или не работает. WebDAV является расширением HTTP и обычно работает через TCP-порты 80 и 443.(Цитата: Didier Stevens WebDAV Traffic) (Цитата: Microsoft Managing WebDAV Security)

Злоумышленники могут воспользоваться этим поведением, чтобы получить доступ к хэшам учетных записей пользователей через принудительную аутентификацию SMB/WebDAV. Злоумышленник может отправить пользователю вложение с помощью копьеметания, содержащее ресурсную ссылку на внешний сервер, контролируемый Злоумышленником (т. е. Template Injection), или разместить специально созданный файл на пути навигации для привилегированных учетных записей (например, файл .SCF, размещенный на рабочем столе) или на общедоступном ресурсе, чтобы жертва(и) могла получить к нему доступ. Когда система пользователя получает доступ к недоверенному ресурсу, она пытается пройти аутентификацию и отправляет информацию, включая хэшированные учетные данные пользователя, по протоколу SMB на сервер, контролируемый Злоумышленником. (Цитата: GitHub Hashjacking) Получив доступ к хэшу учетных данных, Злоумышленник может выполнить автономный Brute Force взлом, чтобы получить доступ к учетным данным в открытом виде.(Цитата: Cylance Redirect to SMB)

Существует несколько различных способов, которыми это может произойти. (Цитата: Osanda Stealing NetNTLM Hashes) Некоторые конкретные примеры использования в дикой природе включают:

* Вложение, содержащее документ с ресурсом, который автоматически загружается при открытии документа (т.е. Template Injection). Документ может содержать, например, запрос, подобный file[:]//[удаленный адрес]/Normal.dotm для запуска SMB-запроса.(Цитата: US-CERT APT Energy Oct 2017)
* Модифицированный файл .LNK или .SCF с именем значка, указывающим на внешнюю ссылку, например \\\[удаленный адрес]\pic.png, который заставит систему загрузить ресурс при отображении значка для повторного сбора учетных данных.(Цитата: US-CERT APT Energy Oct 2017)

https://attack.mitre.org/techniques/T1187

← Назад

Визуализация смежных техник для T1187

Отрасль:
 с подтехниками
Техника

Закрыть