Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1556 , T1556.001 , T1556.002 , T1556.003 , T1556.004 , T1556.005 , T1556.006 , T1556.007 , T1556.008 , T1556.009
Злоумышленники могут регистрировать вредоносные библиотеки динамических ссылок (DLL) фильтров паролей в процессе аутентификации, чтобы получить учетные данные пользователя в процессе их проверки.
Фильтры паролей Windows являются механизмами применения политики паролей для доменных и локальных учетных записей. Фильтры реализованы в виде DLL-библиотек, содержащих метод проверки потенциальных паролей на соответствие парольным политикам. DLL-библиотеки фильтров могут быть размещены на локальных компьютерах для локальных учетных записей и/или на контроллерах домена для доменных учетных записей. Перед регистрацией новых паролей в диспетчере учетных записей безопасности (SAM) локальный орган безопасности (LSA) запрашивает проверку у каждого зарегистрированного фильтра. Любые потенциальные изменения не могут вступить в силу до тех пор, пока каждый зарегистрированный фильтр не подтвердит свое подтверждение.
Злоумышленники могут регистрировать вредоносные фильтры паролей для сбора учетных данных с локальных компьютеров и/или целых доменов. Чтобы выполнить правильную проверку, фильтры должны получать от LSA учетные данные в открытом виде.Вредоносный фильтр паролей будет получать эти учетные данные в открытом виде при каждом запросе пароля.(Цитата: Carnal Ownage Password Filters Sept 2013)
https://attack.mitre.org/techniques/T1556/002
Визуализация смежных техник для T1556.002
| № | Техника |
|---|
