Техники: T1606 , T1606.001 , T1606.002
Злоумышленники могут подделывать учетные данные, которые можно использовать для получения доступа к веб-приложениям или интернет-сервисам. Веб-приложения и сервисы (размещенные в облачных SaaS-средах или на локальных серверах) часто используют сеансовые файлы cookie, маркеры или другие материалы для аутентификации и авторизации доступа пользователей.
Злоумышленники могут генерировать эти учетные данные, чтобы получить доступ к веб-ресурсам. Это отличается от Steal Web Session Cookie, Steal Application Access Token и других подобных действий тем, что учетные данные создаются и подделываются злоумышленником, а не крадутся или перехватываются у легитимных пользователей.
Для генерации веб-учетных данных часто требуются секретные значения, такие как пароли, Private Keys или другие криптографические начальные значения.(Цитата: GitHub AWS-ADFS-Credential-Generator) Злоумышленники также могут подделывать токены, пользуясь такими функциями, как API `AssumeRole` и `GetFederationToken` в AWS, которые позволяют пользователям запрашивать временные учетные данные безопасности (тTemporary Elevated Cloud Access) или команда `zmprov gdpak` в Zimbra, которая генерирует ключ предварительной аутентификации, который можно использовать для создания токенов для любого пользователя в домене.(Цитата: AWS Temporary Security Credentials)(Цитата: Zimbra Preauth)
После подделки Злоумышленники могут использовать эти веб-учетные данные для доступа к ресурсам (например: Use Alternate Authentication Material), что может обойти многофакторные и другие механизмы защиты аутентификации.(Цитата: Pass The Cookie)(Цитата: Unit 42 Mac Crypto Cookies January 2019)(Цитата: Microsoft SolarWinds Customer Guidance)
https://attack.mitre.org/techniques/T1606
Визуализация смежных техник для T1606
| № | Техника |
|---|
