Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1550 , T1550.001 , T1550.002 , T1550.003 , T1550.004
Злоумышленники могут использовать украденные токены доступа к приложениям, чтобы обойти типичный процесс аутентификации и получить доступ к ограниченным учетным записям, информации или службам на удаленных системах. Эти токены обычно крадут у пользователей или служб и используют вместо учетных данных для входа в систему.
Токены доступа к приложениям используются для выполнения авторизованных API-запросов от имени пользователя или сервиса и обычно применяются для доступа к ресурсам в "облаке", контейнерных приложениях и программном обеспечении как услуге (SaaS).(Цит.Auth0 - Why You Should Always Use Access Tokens to Secure APIs Sept 2019)
OAuth - это одна из часто используемых систем, которая выдает токены пользователям для доступа к системам. Эти фреймворки используются совместно для проверки пользователя и определения действий, которые ему разрешено выполнять. После установления личности токен позволяет санкционировать действия, не передавая реальные учетные данные пользователя.Поэтому компрометация токена может предоставить злоумышленнику доступ к ресурсам других сайтов через вредоносное приложение.(Цит. по: okta)
Например, в облачном почтовом сервисе после предоставления токена доступа OAuth вредоносному приложению потенциально может быть предоставлен долгосрочный доступ к функциям учетной записи пользователя, если будет выдан токен "refresh", позволяющий получить фоновый доступ.(Цитата: Microsoft Identity Platform Access 2019) С помощью маркера доступа OAuth злоумышленник может использовать предоставленный пользователем REST API для выполнения таких функций, как поиск электронной почты и перечисление контактов. (Цитата: Staaldraad Phishing with OAuth 2017)
Скомпрометированные маркеры доступа могут быть использованы в качестве начального шага для компрометации других сервисов. Например, если токен предоставляет доступ к основной электронной почте жертвы, Злоумышленник может расширить доступ ко всем остальным сервисам, на которые подписана цель, запустив процедуру забытого пароля. В средах AWS и GCP злоумышленники могут инициировать запрос на получение недолговечного маркера доступа с привилегиями другой учетной записи пользователя.(Цитата: Учетные данные аккаунта облачного сервиса Google)(Цитата: Временные учетные данные безопасности AWS) Затем злоумышленник может использовать этот маркер для запроса данных или выполнения действий, которые не может выполнить исходная учетная запись.Если права на эту функцию неправильно настроены - например, разрешить всем пользователям запрашивать токен для определенной учетной записи, - Злоумышленник может получить первоначальный доступ к облачной учетной записи или повысить свои привилегии.(Цитата: Rhino Security Labs Enumerating AWS Roles)
Прямой доступ к API через токен сводит на нет эффективность второго фактора аутентификации и может быть невосприимчив к интуитивным мерам противодействия, таким как смена паролей. Например, в среде AWS злоумышленник, скомпрометировавший учетные данные AWS API пользователя, может использовать вызов API `sts:GetFederationToken` для создания сеанса федеративного пользователя, который будет иметь те же права, что и исходный пользователь, но может сохраняться даже при деактивации исходных учетных данных пользователя.(Цитата: Crowdstrike AWS User Federation Persistence) Кроме того, злоупотребление доступом через API-канал может быть трудно обнаружить даже со стороны поставщика услуг, поскольку доступ может соответствовать законному рабочему процессу.
https://attack.mitre.org/techniques/T1550/001
Визуализация смежных техник для T1550.001
| № | Техника |
|---|
