Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1556.007 - Гибридная идентификация

Техники:  T1556 , T1556.001 , T1556.002 , T1556.003 , T1556.004 , T1556.005 , T1556.006 , T1556.007 , T1556.008 , T1556.009

Злоумышленники могут устанавливать патчи, модифицировать или иным образом взламывать облачные процессы аутентификации, привязанные к локальным идентификаторам пользователей, чтобы обойти типичные механизмы аутентификации, получить доступ к учетным данным и открыть постоянный доступ к учетным записям.

Многие организации поддерживают гибридные идентификаторы пользователей и устройств, которые используются совместно в локальных и «облачных» средах. Они могут поддерживаться различными способами. Например, Microsoft Entra ID включает три варианта синхронизации идентификационных данных между Active Directory и Entra ID (цит. по: Azure AD Hybrid Identity):

* Синхронизация хэшей паролей (PHS), при которой привилегированная локальная учетная запись синхронизирует хэши паролей пользователей между Active Directory и Entra ID, позволяя аутентификации в Entra ID происходить полностью в облаке
* сквозная аутентификация (PTA), при которой попытки аутентификации Entra ID передаются местному агенту PTA, который проверяет учетные данные в Active Directory.
* службы федерации Active Directory (AD FS), в которых устанавливаются доверительные отношения между Active Directory и Entra ID.

AD FS также можно использовать с другими SaaS и облачными платформами, такими как AWS и GCP, которые передают процесс аутентификации AD FS и получают маркер, содержащий идентификационные данные и привилегии гибридных пользователей.

Изменив процессы аутентификации, связанные с гибридными идентификаторами, злоумышленник может получить постоянный привилегированный доступ к облачным ресурсам. Например, злоумышленники, скомпрометировавшие локальный сервер с агентом PTA, могут внедрить вредоносную DLL в процесс `AzureADConnectAuthenticationAgentService`, который авторизует все попытки аутентификации в Entra ID, а также записывает учетные данные пользователей. (Цитата: Azure AD Connect for Read Teamers)(Цитата: AADInternals Azure AD On-Prem to Cloud) В средах, использующих AD FS, злоумышленник может отредактировать файл конфигурации `Microsoft.IdentityServer.Servicehost` для загрузки вредоносной DLL, которая генерирует токены аутентификации для любого пользователя с любым набором требований, тем самым обходя многофакторную аутентификацию и определенные политики AD FS.(Цитата: MagicWeb)

В некоторых случаях злоумышленники могут изменять процесс гибридной аутентификации из «облака». Например, злоумышленники, скомпрометировавшие учетную запись глобального администратора в арендаторе Entra ID, могут зарегистрировать нового агента PTA через веб-консоль, что позволит им собирать учетные данные и входить в среду Entra ID под именем любого пользователя.(Цит. по: Mandiant Azure AD Backdoors)

https://attack.mitre.org/techniques/T1556/007

← Назад

Визуализация смежных техник для T1556.007

Отрасль:
 с подтехниками
Техника

Закрыть