Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1556 , T1556.001 , T1556.002 , T1556.003 , T1556.004 , T1556.005 , T1556.006 , T1556.007 , T1556.008 , T1556.009
Злоумышленники могут отключить или модифицировать механизмы многофакторной аутентификации (MFA), чтобы обеспечить постоянный доступ к скомпрометированным учетным записям.
Получив доступ к сети путем компрометации учетной записи, не имеющей MFA, или используя метод обхода MFA, такой как Multi-Factor Authentication Request Generation, злоумышленники могут использовать свой доступ для модификации или полного отключения защиты MFA. Это может быть достигнуто путем злоупотребления законными функциями, такими как исключение пользователей из политик условного доступа Azure AD, регистрация нового, но уязвимого/контролируемого Злоумышленником метода MFA или ручное исправление программ и файлов конфигурации MFA для обхода ожидаемой функциональности.(Цитата: Mandiant APT42)(Цитата: Azure AD Conditional Access Exclusions)
Например, изменение файла хостов Windows (`C:\windows\system32\drivers\etc\hosts`) для перенаправления вызовов MFA на localhost вместо сервера MFA может привести к сбою процесса MFA. Если применяется политика "fail open", то любая успешная попытка аутентификации может быть предоставлена без применения MFA.(Цитата: Russians Exploit Default MFA Protocol - CISA March 2022)
В зависимости от масштаба, целей и привилегий Злоумышленника защита MFA может быть отключена для отдельных учетных записей или для всех учетных записей, связанных с большой группой, например для всех доменных учетных записей в сетевом окружении жертвы.(Цитата: Russians Exploit Default MFA Protocol - CISA March 2022)
https://attack.mitre.org/techniques/T1556/006
Визуализация смежных техник для T1556.006
| № | Техника |
|---|
