Техники: T1552 , T1552.001 , T1552.002 , T1552.003 , T1552.004 , T1552.005 , T1552.006 , T1552.007 , T1552.008
Злоумышленники могут искать в локальных файловых системах и удаленных файлообменниках файлы, содержащие незащищенные учетные данные. Это могут быть файлы, созданные пользователями для хранения собственных учетных данных, общие хранилища учетных данных для группы лиц, файлы конфигурации, содержащие пароли для системы или службы, или исходный код/бинарные файлы, содержащие встроенные пароли.
Можно извлечь пароли из резервных копий или сохраненных виртуальных машин с помощью OS Credential Dumping.(Цитата: CG 2014) Пароли также можно получить из предпочтений групповой политики, хранящихся на контроллере домена Windows.(Цитата: SRD GPP)
В облачных и/или контейнерных средах учетные данные аутентифицированных пользователей и служб часто хранятся в локальных файлах конфигурации и учетных данных.(Цитата: Unit 42 Hildegard Malware) Они также могут быть найдены в качестве параметров команд развертывания в журналах контейнеров.(Цитата: Unit 42 Unsecured Docker Daemons) В некоторых случаях эти файлы можно скопировать и повторно использовать на другой машине или прочитать их содержимое и затем использовать для аутентификации без необходимости копирования каких-либо файлов.(Цитата: Specter Ops - Cloud Credential Storage)
https://attack.mitre.org/techniques/T1552/001
Визуализация смежных техник для T1552.001
| № | Техника |
|---|
