Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1556 , T1556.001 , T1556.002 , T1556.003 , T1556.004 , T1556.005 , T1556.006 , T1556.007 , T1556.008 , T1556.009
Злоумышленники могут модифицировать подключаемые модули аутентификации (PAM), чтобы получить доступ к учетным данным пользователей или открыть необоснованный доступ к учетным записям. PAM - это модульная система конфигурационных файлов, библиотек и исполняемых файлов, которые управляют аутентификацией для многих служб. Наиболее распространенным модулем аутентификации является pam_unix.so, который извлекает, устанавливает и проверяет информацию об аутентификации учетной записи в /etc/passwd и /etc/shadow.(Цитата: Apple PAM)(Цитата: Man Pam_Unix)(Цитата: Red Hat PAM)
Злоумышленники могут модифицировать компоненты системы PAM для создания бэкдоров.Компоненты PAM, такие как pam_unix.so, могут быть исправлены таким образом, чтобы принимать произвольные значения, предоставленные Злоумышленником, за легитимные учетные данные.(Цитата: PAM Backdoor)
Вредоносные модификации системы PAM также могут быть использованы для кражи учетных данных.Злоумышленники могут заразить ресурсы PAM кодом для сбора учетных данных пользователя, поскольку значения, которыми обмениваются компоненты PAM, могут быть открытым текстом, так как PAM не хранит пароли.(Цитата: PAM Creds)(Цитата: Apple PAM)
https://attack.mitre.org/techniques/T1556/003
Визуализация смежных техник для T1556.003
| № | Техника |
|---|
