Техники: T1528
Злоумышленники могут похищать токены доступа к приложениям в качестве средства получения учетных данных для доступа к удаленным системам и ресурсам.
Токены доступа к приложениям используются для выполнения авторизованных API-запросов от имени пользователя или сервиса и широко применяются в качестве способа доступа к ресурсам в облачных и контейнерных приложениях и программном обеспечении как услуга (SaaS).(Цитата: Auth0 - Why You Should Always Use Access Tokens to Secure APIs Sept 2019) Злоумышленники, похищающие API-токены учетных записей в облачных и контейнерных средах, могут получить доступ к данным и выполнять действия с правами этих учетных записей, что может привести к повышению привилегий и дальнейшей компрометации среды.
Например, в средах Kubernetes процессы, запущенные внутри контейнера, могут взаимодействовать с сервером Kubernetes API с помощью токенов учетных записей служб. Если контейнер взломан, Злоумышленник может украсть токен контейнера и таким образом получить доступ к командам API Kubernetes.(Цитата: Kubernetes Service Accounts) Аналогичным образом, экземпляры в рамках конвейеров непрерывной разработки/непрерывной интеграции (CI/CD) часто используют токены API для аутентификации в других сервисах для тестирования и развертывания.(Цитата: Cider Security Top 10 CICD Security Risks) Если эти конвейеры будут скомпрометированы, Злоумышленники смогут украсть эти токены и воспользоваться своими привилегиями.
Кража токенов также может произойти с помощью социальной инженерии, в этом случае для предоставления доступа может потребоваться действие пользователя. OAuth - одна из широко распространенных систем, которая выдает пользователям токены для доступа к системам. Приложение, желающее получить доступ к облачным сервисам или защищенным API, может получить доступ с помощью OAuth 2.0 через различные протоколы авторизации. Примером часто используемой последовательности является поток авторизации Microsoft Authorization Code Grant.(Цитата: Microsoft Identity Platform Protocols May 2019)(Цитата: Microsoft - OAuth Code Authorization flow - June 2019) Токен доступа OAuth позволяет стороннему приложению взаимодействовать с ресурсами, содержащими данные пользователя, в соответствии с запросами приложения без получения учетных данных пользователя.
Злоумышленники могут использовать авторизацию OAuth, создав вредоносное приложение, предназначенное для предоставления доступа к ресурсам с помощью OAuth-токена целевого пользователя.(Цитата: Amnesty OAuth Phishing Attacks, August 2019)(Цитата: Trend Micro Pawn Storm OAuth 2017) Злоумышленнику необходимо выполнить регистрацию своего приложения на сервере авторизации, например Microsoft Identity Platform с помощью Azure Portal, среды Visual Studio IDE, интерфейса командной строки, PowerShell или вызовов REST API.(Цит. по: Microsoft - Azure AD App Registration - May 2019) Затем они могут отправить Spearphishing Link целевому пользователю, чтобы убедить его предоставить доступ к приложению.После предоставления маркера доступа OAuth приложение может получить потенциально долгосрочный доступ к функциям учетной записи пользователя с помощью Application Access Token.(Цитата: Microsoft - Azure AD Identity Tokens - Aug 2019)
Маркеры доступа приложений могут функционировать в течение ограниченного срока службы, что ограничивает время, в течение которого Злоумышленник может использовать украденный маркер.Однако в некоторых случаях злоумышленники могут также похищать токены обновления приложений (Цит. по: Auth0 Understanding Refresh Tokens), что позволяет им получать новые токены доступа без запроса пользователя.
https://attack.mitre.org/techniques/T1528
Визуализация смежных техник для T1528
| № | Техника |
|---|
